300 :
296 :
2001/08/08(水) 00:23
301 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:23
過去ログ読めとかかなり言われそうで嫌なんだけど、人多そうなので思い切って聞いてみる。 IISが動いているマシンだと放置しとくだけで感染してしまうのかしら?
302 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:25
確実に増殖してるね。いずれ収束するんだろうか? アタック元の管理者にかたっぱしから連絡しないと事態が収まらないような気がしてきた。
303 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:25
>>301 IISに、インデックスサービス(これもデフォ)が入ってるとそうなる。
イントラ用ならルータで80切っとけばいいけど。
>>298 漢字コード誤認識防止のおまじない文字列の1つ
けど実際にあれ選んでるのは初めて見た(w
>>304 つーかあんなもん化けてもいいじゃないか(w
306 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:28
>>302 @niftyだけど、とりあえず、昨日よりは少ない。
不精君でも、リブートするから、気が付くんじゃないか?
うちの会社は、遅ればせながら今日、社内総点検命令が出てました。
要らないサービスは 入れない 付けない 起動させない これ基本
308 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:28
>>301 1.ネットワークからIIS+Indexサーバにアクセス可能
2.必要なパッチがあたっていない
以上の条件を満たしていたらアウトです。
ネットワークからってのは、インターネットから直接に限らず、
LAN内から侵入される可能性も大いにあります。
309 :
もう :2001/08/08(水) 00:28
へへ見てちょ www.nefty.net/desktop/haritsuke/imgboard.cgi
310 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:28
>>301 過去ログ全部読めとは言わんが、せめて
>>1 のリンク先
くらいは読めよ
100MB のファイルを置いといたのに 56kB しか食べてくれなかった。
312 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:29
>>299 だよねぇ、なのにある会社の管理部はイントラ内で
大繁殖したからって感染PC全部初期化命令を出しよった。
ローカルディスクを初期化しろってさぁ
いくら危機的でも対処方法があるのにねぇ
2,3ヵ月後に又再発するに15おしりコイン
>>311 それ、面白い。俺もやろうかな、と思ったけど....
やっぱ、無意味だよなあ。
315 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:31
23時をまわったからダイヤルアップのアホどもも戦線に参加して来た。
無意味というか、無駄なトラフィック増やしちゃイヤ
317 :
293 :2001/08/08(水) 00:33
>>295 再インストールしてもすぐ感染するから、パッチを当てないと駄目
>>299 パッチを当てようとしても、OSのバージョンアップしてないと、パッチが当たらないので、
サービスパックをダウンロードして、バージョンアップして、パッチを当てて、というのが、ものすごいじかんがかかる。
いや、Code Red がバッファオーバーフローしないかなと思ってサ...
319 :
管理部 :2001/08/08(水) 00:34
>>312 つーかバクドア削除してレジストリ戻して、なんて複雑な作業
できる奴のPCは総じてきっちり防衛できてて、パッチて何?
っていってるようなマヌーな奴のPCが軒並みやられてるわけよ。
でオフィシャル指示としては「感染したら初期化しろ」になったさ。
手順書つくれぇ?アホかーーーーーい。
おまえらの不始末までなんで俺らがかぶらにゃならんのってことよ。
320 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:35
>>315 テレホタイムはプロバイダの担当者帰っちゃってるだろうから
朝までログ集めて、まとめて送り付けて対策しろって言おうかな。
321 :
追加 :2001/08/08(水) 00:35
>>317 今の状態だと、そーやって再インストールしてる間に感染。
なんか、不思議だよな>ダイアルアップ 前回のアクセスからリブートしていないわけないと思うから 再感染なのかな。
323 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:38
>>319 じつはこの話、ちゃんとした情報処理の会社なんだけどね
しかも超大手・・・
インストール中はケーブルはずせやゴルァ
325 :
293 :2001/08/08(水) 00:39
>>317 それ以前に、英語が分からなくて、パッチが当てられない人が大多数だと思うぞ。
パッチなんて、素人が当てるとは想定してないからな。
326 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:39
バッチを落としてる間に感染したら終わりじゃないのか? 初心者はバッチをメディアに保存して再インストールだな。 CodeRedの駆除法教えてください厨房に説明するのは疲れそう。
327 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:40
>>319 よく考えたら、IIS動かす必要のない奴に関しては
「IIS止めれ」
で済むのでは。バックドアもIIS経由だし。
328 :
管理部 :2001/08/08(水) 00:40
>>323 オレがその大手の管理部だって発想はない?
329 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:41
330 :
追加 :2001/08/08(水) 00:42
>>324 えぇだって、パッチはサーバに有るじゃん。
てか、DHCPサーバ探すのに時間がかかるしぃ。
やだ、やだ、えらそうにぃ。
って言われる会社に1票
331 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:43
せっかく感染してるのだから、バックドアつかって直すとか。
332 :
> :2001/08/08(水) 00:44
The Internetから切れ>感染馬鹿
333 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:44
ほんとご苦労様です。 でも12時間もネット止ると仕事にならんよ 原因の通知だって、翌朝だし
334 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:45
そろそろ飽きてきたから、完全に消滅するか 面白い亜種をリリースするかどっちかにしろとか 思ってる俺は逝ったほうがいいかな? 土曜21時ぐらいが一番楽しかったんだが
IndexServerとisapi殺しとけ
なんでみんなせっかく感染してるマシンをばらしちゃうかなぁ。 もったいないよ?
338 :
管理部 :2001/08/08(水) 00:48
>>331 それも考えたが、root.exeの場所を探すコード書くのは
意外と面倒だ。D:、E:あたりにInetPubがあるならまだしも、
M:とかQ:とかに配置してるような変態まで対処する気にはならん。
339 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:52
>>337 踏み台か、暗号コンテストにしか使えないマシンたちです。
340 :
管理部 :2001/08/08(水) 00:53
気が付いて速攻削除して知らんふり決め込んでる奴もいるしな。 気持ちはわからんでもないが、防衛できたマシンにはアタック ログばっちり残ってるんだからさ。ムダムダ。
341 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:55
アタックされたログを公開するのって法的に問題ありますか? エロ動画ダウソ速度が落ちてプソプソなので晒してやりたいのですが。
342 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:57
あの〜これってWIN2000とNTに感染するの? っ〜うかマジでうぜえんだよ!!!!!
343 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:58
345 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 00:58
これってポートアタック以外に感染するって事あるんですか? 80さえブロックすればイントラはOKなはずですよね?
>>340 うちでは、ダイアルUP接続馬鹿が居て、そいつがLAN内に持ち込んだ
ようなんだが、退職者のサーバに電源いれてそれが原因かのように言ってる。
ウィルスじゃなくて、ワームなんだってことに気が付かない言い訳が、哀愁
を誘うなり。
347 :
> :2001/08/08(水) 00:59
348 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:00
349 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:01
AT&Tしっかりしてくれ。すさまじいアタック食らってんだよ
>>342 バックドアからやりたい放題だということはこの板を見れば
明白。未必の故意で捕まります。
351 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:03
>>346 人のせいにするやつ信用できない残念だけどクビ。
352 :
管理部 :2001/08/08(水) 01:03
同じ会社のような気がしてきたぞ(笑 収集できたログの発動時間からしてダイアルアップ経由感染と踏んでるぜ。
354 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:04
誰かそろそろ、全ネットワークがストップしたあのアホな会社を晒してくれ。
356 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:05
Win2kもproはデフォじゃ感染しないみたいだし、一般ユーザーは取り合えず安心ですね。
357 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:05
なんだかチャット状態ですね。
358 :
もう :2001/08/08(水) 01:05
359 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:06
>>356 気が付かないうちに IIS インストールされてる Win2Kプロ
が沢山攻撃に参加してると思うのだが。
360 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:07
>>355 全サーバーWINで組むような駄目ネットワークは絶滅危惧種
362 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:07
>>359 ちょっと不安になってきたんだけど、人のマシンに気づかれないようにIISインストなんてできるの?
363 :
え〜ん :2001/08/08(水) 01:08
だからあ、コンピューターの管理でサービスとアプリケーションの 下になんかない?
364 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:09
365 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:10
366 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:10
>>363 インデックスサーバーがありますね。
これが停止していればOKです。
367 :
359 :2001/08/08(水) 01:12
>>362 わかりにくくてスマソ。
IIS がインストールされていることに気が付いていない
Win2K Pro ユーザーが沢山いるだろうな、という意味。
368 :
え〜ん :2001/08/08(水) 01:12
369 :
管理部 :2001/08/08(水) 01:13
370 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:14
>>366 違う!
index service 動いてる動いてないは関係ないぞ。
371 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:14
Win2kProってデフォルトじゃIISはインストールされないでしょ? 素人はサービス追加したり弄ったりしないだろうからまず大丈夫。 コンピュータの管理>サービスとアプリケーション>サービス>インデックスサービスが停止してれば問題なし。 これが開始になってると非常にまずい。
372 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:14
default.idaあるないですね。
373 :
え〜ん :2001/08/08(水) 01:14
>>369 そうすよね!!
誰も気づいてくれないんだもの。
374 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:15
375 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:15
>>367 恥ずかしながら私がそうでした。
遅ればせながら対応しました。
無事でよかったけど・・・。
376 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:16
>>371 違うっつーのよ。いいかげんな情報流すな!
377 :
え〜ん :2001/08/08(水) 01:16
だってan httpd立てようとした時「80は使われてます」って出たもの。
default.idaは無くてもidq.dllに渡されてしまうからだめ。 .idqと.idaに対するidq.dllへの割り付けを消してしまうかしないと。
379 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:18
もし感染してたとして IISをアンインストールすればOK?
380 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:19
>>366 本当にOK? うちではインデックスサービスが停止していても、
DLLが残ってると入り込めるらしいという情報が流れているのだが。
381 :
372 :2001/08/08(水) 01:20
382 :
管理部 :2001/08/08(水) 01:20
>>379 おまえみたいな奴があとからあとから出てきてこっちの仕事は
停滞しっぱなしだ。
383 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:20
サービスとアプリケーションの下層にインデックスサービスがあるんですけど中身が空なら安全ですか?
idq.dllのリネームで済まないか?
385 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:21
>>379 とめとけばあんまり良くないけどひとまずOk。
ただしSystem File ProtectionがOffになったまま。
386 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:21
387 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:22
388 :
ななし :2001/08/08(水) 01:22
>>366 今回はこういう方達の大量感染なんで
どうにもならんでス。
/)
、2)Y⌒ ⌒フ +
ッ-i'´ ⌒フ
(´ ,.-゙ー-、 ろ、
* シ彡ノ"ミVv )
* ノノノノ"ヽヽヽミ シ / ̄ ̄ ̄ ̄ ̄
. ,l')∩ ∩ |)|ヾ ミ < 逝ってよし
,○)、 ▽ ノjl| YY゙ \_____
{_∃ `l____/⌒'i|
 ̄ Yl"゙⌒lY | +
,ト|__/ハ i、
,iニiニiニユ ゙h,,)
ノtYTYヾ\
/''フ''''ー<"ヽ、
/__ノ \ノヽ、
(__) ゞ__)
389 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:22
>>386 ありゃ、Backdoor到達できたっけ?
390 :
管理部 :2001/08/08(水) 01:23
>>384 ida/idqマッピング解除してScriptsを消せ。
実行権解除でもいいぜ。
391 :
え〜ん :2001/08/08(水) 01:23
392 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:24
結局、ごちゃごちゃいわずに手順どおりにやれってことになるわけだ。
>>390 なるほど、実行権は確かに楽だ。まあIISなんていう
ステキなHTTPDは触ったことも無いんで、実は関係無いんだが
394 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:27
395 :
え〜ん :2001/08/08(水) 01:27
これで一人減ったんでよかった。 -------ここまで読んだ--------- もう寝る。
396 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:28
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ | あしたまでに全部駆除しといて。 \  ̄ ̄ ̄|/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ( ・∀・) ∧ ∧ < もう、手詰まりです。 ( ⊃ ) (゚Д゚;) \____________  ̄ ̄ ̄ ̄ ̄ (つ_つ__  ̄ ̄ ̄日∇ ̄\| BIBLO |\  ̄ ======= \
397 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:29
398 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:31
iij大丈夫か?、、、 もう10件も来てるぞ
399 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:31
いいかげんなこと言う前に
>>1 と
>>2 のリンク先は読んでくれよ...
そう言われるといいかげんなこと言いたくなるな
401 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:33
他のとこは勢い落ちてるのかな 俺んとこは、Win2kダイヤルアップOCNで 2時間半で230件ぐらい来てる。早く鎮まって欲しい・・・
>>397 普段の低姿勢が無くなって、ちょいちょいと怒りが現れているね。
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ | IISが起こす昔からの騒動を見ていると | ∩_∩ | | (´ー`) < IIS自体がバックドアであるような気がするよ | ( ) \____________________/ | | | (___)__)
405 :
厨房 :2001/08/08(水) 01:36
インデックスサービスってアンインストできるの? サービスにIndexing Serviceっていう名前で入ってるんだけど、開始にはなってないが・・・
406 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:37
>>397 でも HTTP のリクエストを攻撃パケットと呼ぶのは違和感ある...
408 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:39
409 :
厨房 :2001/08/08(水) 01:42
>>406 一応過去ログは読んで、MSの修正プログラムをインストしたりして感染自体はしてないんですけどね、
Indexing Serviceのアンインストは過去ログにはなかったと思ったんですけど
>>408 意味無いの?やり方だけでも教えくれないかな・・・
410 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:43
411 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:42
いや〜出始めの頃に落とされて良かったよ>NNNNの頃 会社の社員が使っているIISマシン落ちてやんの。 SRP入れたから良いけど。
413 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:44
your computer does not appear to be vulnerable to the codered warm アンタのPCにはCodeRedに対する脆弱性が見つからなかった
415 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:46
416 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:47
417 :
一発予想 :2001/08/08(水) 01:53
419 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:54
>>416 のリンクが一番分かりやすい。
ここでごちゃごちゃいってる奴らははっきり言って要領を得ない。
ワラタ
421 :
管理部 :2001/08/08(水) 01:55
そろそろ次の展開がほしーな だれか殺虫剤ワーム作ってくれー 名前はアースレッドでよろしく
>>419 ・・・みんな君に解説してる訳じゃないんでね
424 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 01:57
まあ、誤解しがちな点が解決されたんではないか? ましな情報源のをちゃんと読めという話は確かだが。
425 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:00
>>418 おお、いいんじゃないですか。
パート2立てるときは1に載っけといてよ。
# 「やられてますよ」って日本語じゃだめなんかな。
427 :
411 :2001/08/08(水) 01:59
>>414 サンクス!
>>411 すまん、よめんのだ!バカなのだー。
でも、こんなバカの管理してるサーバーが大丈夫なのに、感染してる
サーバーが多いのは信じられないなー。
428 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:01
まとめると SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d のレジストリキーが存在、あるいは c:\explorer.exe d:\explorer.exe c:\inetpub\scripts\root.exe c:\Program Files\Common Files\System\MSADC\root.exe が存在していれば感染。 タスクマネージャのプロセスにInetinfo.exeが存在(IISがインストール済且つ動作中)すればパッチを当てる必要有り。 パッチを当てるにはSP2インストール必要有り。 ってことでよろしいですね。
まとめてくれたのはありがたいんだが 15 分後には同じ質問が 出るよ、この回り具合だと。
430 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:03
431 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:04
>>428 万能backdoorありってことは、
・ログを消して(通用するのは休眠サーバだけだが)
・レジストリキーもそれなりに戻して、
・別のバックドア仕掛けてドロンジョ(古っ!!)
なんてことはないか?
厨房がUnixでWebサーバー立てる時代だからね
433 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:05
>>431 explore.exeなんて目立つ名前じゃないと発見少しは遅れるかな?
別のバックドア、トロイの危険性があるから 素人は素直に再インストールしろっての
435 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:07
さらにまとめるとWindows2000Pro.インストールしたまんまの状態ならIISは動作してないので問題なし。 不安ならバッチあてればなおよし。 Serverはデフォルトでバッチ当てる必要有り。 ってことでよろしいですね。
>>431 もちろんある。
rootkit の類を植えられてる可能性あるし、不安なら再インストール!
なのだが、厨房管理者はその辺神経質にならないから
問題なんだな。
437 :
503 :2001/08/08(水) 02:10
>>428 まさかとは思うが、MeでExplorer.exe削除する奴は居ないよな。
NTと2000のIISは注意だけど。
>>435 IIS 動作させちゃうアプリってあるんじゃなかったっけ?
FrontPage とかどうだっけ
あとは Visual InterDev とか
439 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:12
>>438 IISを動作させるアプリをまとめて、これ使ってる人要注意みたいな感じで喚起するといいかもしれませんね。
440 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:14
>>473 ワラタ
ってーかMeや98にも感染するの?
>>360 > 全サーバーWINで組むような駄目ネットワークは絶滅危惧種
だったら保護して増やさなきゃ。
443 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:15
444 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:16
NT = rootkit
445 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:17
>>441 TCP/IP禁止。全部NETBEUIに戻す。
446 :
438 :2001/08/08(水) 02:18
>>439 そうだね。うちは FrontPage とか無いので検証できないので、
知ってる人いたら教えてください。
とりあえず、
>>435 は Win2KPro でもタスクマネージャで
確認、としておいたほうが良い気がする。
447 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:20
>>445 NetBeuiごしに感染するワームなかったか?
東急CATVで流行ったやつ。
一寸の赤虫にも五分の魂。
>>430 あれをあそこにああいうふうにコピーして実験した結果は
OKだったけどそんな簡単なもんじゃないんだっけ?
450 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:22
うちのネットワークNetBeui禁止だよ。 何考えてんだか。
451 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:22
452 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:24
>>450 ただただIPつなぐなというたわごとでした。マジレスすまん。以上。
453 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:25
454 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:33
ことあるごとに「Dialウプだめ」「RASだめ」と、ささやかな 我々の要望をうち砕く本社/親会社の情報システム部。 まさかCodeRedごときにやられたりはしませんよねぇ(w さあ、CodeRedを見事に撃退した彼らの奮闘ぶりをたたえまくろう! …ちゅう新スレをチクリ板に上げたいと思うが、どうよ?
455 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:34
>>449 うちのだとlocalhostあてのnet sendは届かない。
マシン名を指定すると届くけど。
457 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:36
漏れはユーザだが、けなすことより動かすことを考えようという気になった。 今日は寝るざんす。
458 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:36
>>454 CodeRedがらみのちくりスレは一つはあってもいいとおもう
459 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:37
>>457 管理者さんはエラいということざんす(人によるが)。でわ。
460 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:41
ありゃ? 24.49.*.* なんてとこから来たよ。 210ばっかりだったのに。
461 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:42
これで日本は(韓国も同じだが)サイバーテロ仕掛け れば一発で御陀仏、お役所もマスコミも無力だと証明で きたね。「ならず者国家」もブッシュ大統領も大喜びさ
462 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:48
>>461 遊びに使ってるのが殆どだからそれほどこまりまセーン。
463 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:51
やべ、210.91.32.2 の X 型から連続攻撃食らってる。 3秒間で連続23回+8秒後に最後の一回アクセスがあった。 こんなの初めて見るんだけど新種?
464 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:54
かなりアタックが来てますね・・・ うちはMacのWeb共有というへぼい自家鯖ですが。 ログを見てると数分に一回は来ます。 主に中国系のサーバを媒介としているようです。
465 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 02:55
TCP Port6345に沢山おいでになってますが、何のバックドアやら。 昨日の昼はUDPだった。知ってもどうにもならんが。
466 :
465 :2001/08/08(水) 02:56
6346の間違い。
467 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:02
>>466 どこかで見たようなPort番号…
と思ったら、それgnutellaですよん。
468 :
某CATVユーザー@お腹いっぱい。 :2001/08/08(水) 03:03
某CATVユーザーなんですが、自分のプロバのサポートに、 警告対応メールよろしくと言っても返事ないです(T_T) (zonealarm警告が多発しているのに)
469 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:05
hinet.net にはログを送った。
470 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:05
>>467 Thanks。
なんだ、たいしたモンじゃないな (藁
到って禁欲的にしか使用してないもんで・・・
471 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:09
472 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:10
今なら、root.exeでWeb改竄して自己主張し放題なのだろうか。。。 宗政分離マンセー KomeiRed
473 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:12
474 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:14
うちの apache に攻撃にきてるワームの元 IP、jp domain だけ調べると .ad.jp, .ne.jp, (常時接続ユーザっぽい)、 .co.jp ばかりで、 .gr.jp, ac.jp がほとんど無い。 貧乏人は今回はほとんど攻撃を受けなかったのだろう 大学はほとんど IIS 使ってないのかな。
476 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:16
>>475 wwwrootにコピって
httpから落としたら?
477 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:17
>>471 D:\にも魅力的なファイル名がいっぱい
478 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:17
>>471 入手しようとしたがファイルでかすぎ。
というかアクセス集中してんのか (藁
480 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:18
旦那の知らないところで妻がもてあそばれているというヤツですな。
>>478 アクセスが集中してるっつーか、増殖に忙しいんでは?
っつーか、ヤメトケヨー。
482 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:20
むかつくからフォーマットかけようか ntldrを削除か迷いますなぁ
謝罪と賠償を要求されるぞ(w
484 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:20
>>478 得ろ画像サービスなんてそんなもんか・・・
486 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:21
>>483 つーか、CodeRedにやられる奴がそこまでするか?
しかもやられたのがエロ動画
泣き寝入りっしょ
何とか TERUMI 画像と置き換える方法を考え中...
Name: s210-219-128-95.thrunet.ne.kr Address: 210.219.128.95 krだぞkr(w
490 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:24
こいつSM好き? 金沢文子まであるよ
491 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:26
>>486 まぁ、個人ユーザならそうかもしれんが、企業だったり
なんらかの団体が管理しているマシンだと要求されても
おかしくないと思われ。
企業はダメー、個人ならオケーってことではないので、念のため。
493 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:27
在韓日本人か? それとも日本かぶれのチョン
494 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:27
火事場泥棒はヤメレ。マジデ。
495 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:27
496 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:29
inetnum: 61.18.0.0 - 61.18.255.255
netname: HKCABLE-HK
descr: HK Cable TV Ltd
descr: Cable Multi-Media Services
country: HK
admin-c: AD23-AP
tech-c: AD23-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-HK-ICABLE
changed:
[email protected] 20001213
source: APNIC
person: administrator dns
address: 12/F., Cable TV Tower,
address: 9 Hoi Shing Road,
address: Tsuen Wan,
address: N.T.,
address: HK
country: HK
phone: +852-2112-7516
fax-no: +852-2112-7977
e-mail:
[email protected] nic-hdl: AD23-AP
mnt-by: MAINT-HK-ICABLE
changed:
[email protected] 20000811
source: APNIC
498 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:29
どう見ても個人鯖だな 例え企業でもエロ動画置いてある会社って・・・ ププッ
だからヤメレってば。ホントに。 感染を放置している側に責任がないとはいわんが、 バックドアを仕掛けられてしまうのはワームのせいで故意ではないだろ。 しかし、そのバックドアを利用して侵入するのは故意だろ。 その違いをよく認識スレ。
>>495 スキャンディスクによる修復フォルダの多いマシンやな(w
前スレよりモラルを維持してきたが、ここに来てアレになったようだ。
502 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:36
IISでFTPサーバーだけ動かしてるんだけど、これでも感染のおそれがあるの? なるべくSP2当てたくないんだけど…。
はなからFTPだけだったら、問題ない。
504 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:38
ホントだな。この板にはそんなに厨房がおおいんか? 自ら「僕チャンバックドアを利用して他人のマシンを 覗いてマース!」って公言しているようなもんだろ。 キヲツケロヨ。
>>428 c:\Program Files\Common Files\System\MSADC\root.exe
には、なんにもなかったのですが、
c:\inetpub\scripts\root.exe
には、root.exeが存在していました。
感染しているのでしょうか?
パッチは当てているのですが。。。
すみません、教えてください。
感染後にFTPだけにするのは、仕込まれ後なんでアウトだけどってことで。
>>507 感染してます。すみやかに処置しましょう。
お大事に・・・
うげ。馬路すか? ちなみに、root.exeを削除するだけじゃ、駄目ですよね? もしかして、インストールし直し? ドキドキ
2ヶ月ぐらい前のsadmindに気が付いてなかったとかなら笑えるかも。
514 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:45
>>512 とりあえす名前欄に fusianasan と入れてみ。
ゾーンアラームもいれたのに。。。時すでに遅し? 藁ってやってください。。。
517 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:47
>>513 あぁ、その可能性もあるねー。
>>507 は sadmind の可能性も考えたほうがいいと思われ。
全ネットワークが停止した会社か。 業界最大手の某社ですかね・・・
519 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:51
皆さんお待たせ〜
>>471 と
>>495 のエロ鯖は次回リブート時に
system32以下ログもろとも吹っ飛びます。
思う存分お楽しみください。
ちなみに
>>471 のほうがレベル高いもの持ってるよ
実は、この一連の騒動で、 月曜日にOSインストールし直したばっかりなんです。 (コードレッドとは気が付かずに、別のトラブルかと思ったので) ということは、sadmindの可能性は低いのでしょうか? (sadmindについてはよく知らないので、今調べています。) とりあえず、こちらから何かを送信している形跡はないのですが。。。 打つ足し脳
521 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:53
522 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:54
>>519 ついでに使えるコマンド増やしてください
お願いします
>>519 ワラタ
知らせるにはちょうど良いな(藁
>>520 きちんとフォーマットして再構築やり直したか?
上書きだと消えないだろうし、
復元だとバックアップ時点で感染してたら意味がない。
夏厨版になってしまった。
527 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:56
あー、今のうちにログを回収して
>>519 のアドレスを確保しておこうかー。
>>525 CodeRedIIの仕様を知らないと思われ。
いつのまにか厨房のすくつになってしまったが わらいがとまらん。。。。
もう一度いおう。 これからは、インターネットはこういうものになる。
世界6大会計監査法人のひとつから インバウンド食らってます(NISで遮断されてますが)
535 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 03:59
>>525 すみません、つきあっていただいて。。。
フォーマットして再構築したのですが、
その後ネットに誤ってつながったときに
感染したのかもしれません。
回線切って逝ってきます。
ありがとうございました。。。
もう一度いおう。 これからは、インターネットはこういうものになっちゃった。
夏厨ちゃんのネタウザイ。
文子はモザイクあったよ クロウシタノニ・・・
∧ ∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 〜′ ̄ ̄( ゚Д゚ ) < 今晩ワこれで終わり UU ̄ ̄ U U \_______________
543 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 04:09
wwwrootにあげたら ファイル名きぼんぬ
544 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 04:10
独り占め禁止
自分たちが何をやってるか分かってるんだろうとは思うが。 バックドアからの侵入の話は他でやってくれないかな。
ダメです隊長ーーーーーー みんなエロに目が眩んでますーーーーーーー (藁
死肉に群がるハイエナとハゲタカの群れを連想
548 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 04:18
549 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 04:18
Cドライブのプログラムファイルの中の いくつかのアプリがいきなり消えてしまったんですが 関係あるのでしょうか? どなたか教えてください。
default.idaをあひゃひゃにしといた
どーよ、誰かダウソに成功したんか?
ダウソの話はダウソ板に逝けよ
ログを入手したがリブートでファイルが消えるような細工が成功した 形跡は見られなかった。
555 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 05:17
>>549 自分で間違って消してしまった、ということは考えられないか?
IIS を動作させているのか?
OS は?
556 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 06:03
質問でしゅ。韓国・中国のネットワークは大丈夫なのでしょうか? 転送速度がちょと落ちるぐらいなのでしょうか? それともネットが使い物にならない状態なのでしょうか?
557 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 06:13
感染してるやつのフォルダ消すにはどうしたらいいのかな?
558 :
え〜ん :2001/08/08(水) 06:41
おはよう、ドキュソくん減った?
559 :
あのう〜 :2001/08/08(水) 07:09
>543 すんまそん こぴーできませんが? f:\XXX\Tokyo sluts2.mpg c:\Inetpub\wwwroot The filename, directory name, or volume label syntax is incorrect. 0 file(s) copied. っていわれます。
ドキュソは夜中だけにしてくれ・・・
HKにある機械の情報をJPから操作して取り出したらどの国のケーサツに つかまるんだ? いんたーぽーるかあ?
562 :
:2001/08/08(水) 08:00
"GET /default.ida?XXXXXXX〜HTTP/1.0" 404 というのが今までのログだったが、GETもdefault.ida?も なくて単純にXだけの羅列のログがいくつか残りだしている。 "XXXXXXXXXXX〜HTTP/1.0" 400 何だろう?
563 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 08:03
↑既出
564 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 08:08
裁判はHKだろね、被害者HKなら、たぶん 刑務所もか(ワラ
って、お祭り気分で目の前のエロに目がくらんで やっちゃったドキュソ君たちにはもう遅いか・・・ よいこのみんなは真似しちゃだめだよ(はぁと)
なんかスレ内容変わってるし・・・ 夏だねぇ。
CodeRedに感染したエロサイトがあったよ でも、運営している人がどんな人か恐くて手が出せないYO!
569 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 08:28
捕まるわけないじゃん
ホント夏だねぇ〜。 わらかしてはもらったけど。
>>568 サイト管理者にメールしてあげるか、もしくは放置がよいと思われ。
さてさて、出勤するか。
572 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 09:06
>>559 パラメーターはこうだろ
"f:\XXX\Tokyo sluts2.mpg"+"c:\Inetpub\wwwroot"
573 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 09:10
574 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 09:24
jpnicのwhois見て連絡とろうにも、メールアドレスすら記入のない 技術連絡担当者って何様のつもり・・・。
575 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 09:29
夜中は厨房スレ化してるな(w さて、テレホタイムに集めたログ、プロバイダに送るかな。
576 :
573 :2001/08/08(水) 09:32
見るだけならOKと思って固定IPで串も刺さずにアクセスしちゃったよ(TT
577 :
あのう〜 :2001/08/08(水) 09:41
>572 はいそれもやりました。 でもダメでした。
578 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 09:42
>>574 あーいるねぇ。
仕方ないから会社名や電話番号で検索かけてみてるけど、
なくなってるとことか社名変更してるとことか、確証がとれな
くて鬱。
579 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 09:52
今日の朝からポート.80だけじゃなく8080にも来るようになってるなぁ これも Code Red? ポート: 8080 モード: TCP IP アドレス: 217.3.91.183 ホスト名: pd9035bb7.dip.t-dialin.net
580 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 09:57
581 :
すざけんなよ :2001/08/08(水) 10:18
Z登場 Zが親でA,Cの子供を自己増殖 GET /default.ida?ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ GET /default.ida?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA GET /default.ida?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
>>574 (1) ヤーさま。
(2) ただのおやじ。
>>581 GET /default.ida?萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
GET /default.ida?鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱
(ただしUTF-8に変換)
584 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 10:35
>>580 こんな感じ
01.8.8 9:56:30 AM 拒否 Web 共有 kk-393.alphatec.or.jp
01.8.8 9:56:20 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:18 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:15 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:13 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:11 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:08 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:55:46 AM 拒否 Web 共有 210.107.98.33
01.8.8 9:55:45 AM 拒否 Web 共有 210.107.98.33
01.8.8 9:54:18 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:17 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:16 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:15 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:51:37 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:51:37 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:51:36 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:50:25 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:50:21 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:50:18 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:48:28 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:48:27 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:48:26 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:42:09 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:08 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:07 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:06 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:05 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:04 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:41:51 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:41:50 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:41:49 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:38:15 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:09 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:04 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:01 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:37:59 AM 拒否 不明 (8080) 211.95.67.243
アナログモデムにて接続中、やたらとモデムのアクセスランプが点滅する ↓ 何で?と思ってモデムのプロパティを見ると、大量のパケットを送信中 ↓ もしや?と思ってnetstatを見ると、いろんなサイトのport80に接続中 ↓ そんなバカな、と思ってタスクマネージャを開くと、IIS動作中。 ↓ ガ━━(゚Д゚;)━━ン!
>>584 バックドアだのがあいてるところ、巡回中なんじゃないか?
587 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 10:44
ADSLで接続中、突然通信できなくなる ↓ プロバイダがCodeRedのパケットストームで落ちていると断定 ↓ 「ゴルァ! CodeRed喰らって落ちてるぞ。早く直せオラ」と電話 ↓ 「お客様のマシンからCodeRedのパケット出ておりましたので切り離しました」 ↓ ガ━━(゚Д゚;)━━ン!
5 不正アクセス禁止法違反 (1)他人が仕掛けたトロイの木馬系ハッキングプログラムから取得したID、パスワードを使 用して、アメリカ合衆国に設置された有料ゲームサイトの認証サーバーに対して不正アクセスを 行い、ゲームを行った。(平成12年2月検挙。警視庁) (2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作CGIプログラム を使用してセキュリティホールを突き、パスワードを入力することなく不正アクセスした。ま た、不特定多数の者が当該掲示板にアクセスできるようなリンクを自分の管理するホームページ 上に作成した。(平成12年6月検挙。北海道、富山) (3)インターネット上の掲示板で知り合ったハッカーグループが、インターネットで不正に入 手した他人の識別符号を使用して、大学やプロバイダーに対して、その管理者等になりすまして 不正アクセスした。(平成12年11月検挙。愛知等) ドキュソ八倉厨房が多いねえ( ´∀`)
>>ガ━━(゚Д゚;)━━ン! これいいねぇ(w
590 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 10:49
(3)専門学生(20歳)は、ホームページの中の爆弾マークをクリックすると自動的に110 番につながる携帯電話(インターネット接続)のホームページを開設し、多数の事情を知らない 閲覧者に110番させ警察の通信指令業務を妨害した。(平成12年8月検挙。偽計業務妨害。 警視庁・高知) これいいねぇ ブラクラも業務妨害罪?(w
ポリが罠張っているのに気づいてない厨房も多いね、このスレ(w
593 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 11:04
IIS鯖からのoutgoingのsynパケットを弾くように パケットフィルタを設定してください
594 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 11:05
>>592 ワラタ
どんな罠だよ
ダウソ板は行った方が大漁だぞ(w
595 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 11:07
8080は手動でしょうね。うちのルータの弾きログには1個もないよ 137と53舐めが3回ずつ、80は今日だけですでに一千行超えてる・・・ Apachは1行だけどルータは3行記録するからねぇ
596 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 11:15
先週RT50iが落ちまくったんで ファームウェアをRev.3.05.38にしたけど、 3日目にしてまた落ちた。 なんか対応策無い? お盆休めないな、このままじゃ。
>>595 BlackICEで見ると6カウントずつだけど。SYNのリトライは6発ずつ(攻撃側OSのデフォ?)で、
ルータが3行以上は記録抑制してるだけか。
598 :
夏だし :2001/08/08(水) 11:22
対策方法が1つだけある!ログ取るな!
599 :
名無しさん@お腹いっぱい。 :2001/08/08(水) 11:23
>>596 うちは http service off にして、念のため
httpd listen 8080
httpd host none
とかしているけど。今のところ大丈夫みたいだが。
8080はproxyを探しているに一票