コードレッド (Code Red) 逝ってヨシ

>>289
まちがった

過去ログ読めとかかなり言われそうで嫌なんだけど、人多そうなので思い切って聞いてみる。
IISが動いているマシンだと放置しとくだけで感染してしまうのかしら？

確実に増殖してるね。いずれ収束するんだろうか？
アタック元の管理者にかたっぱしから連絡しないと事態が収まらないような気がしてきた。

>>301
IISに、インデックスサービス(これもデフォ)が入ってるとそうなる。
イントラ用ならルータで80切っとけばいいけど。

>>298
漢字コード誤認識防止のおまじない文字列の１つ
けど実際にあれ選んでるのは初めて見た（ｗ

>>304
つーかあんなもん化けてもいいじゃないか（ｗ

>>302
@niftyだけど、とりあえず、昨日よりは少ない。
不精君でも、リブートするから、気が付くんじゃないか？
うちの会社は、遅ればせながら今日、社内総点検命令が出てました。

要らないサービスは　入れない　付けない　起動させない
これ基本

>>301
1.ネットワークからIIS+Indexサーバにアクセス可能
2.必要なパッチがあたっていない

以上の条件を満たしていたらアウトです。
ネットワークからってのは、インターネットから直接に限らず、
LAN内から侵入される可能性も大いにあります。

へへ見てちょ
www.nefty.net/desktop/haritsuke/imgboard.cgi

>>301
過去ログ全部読めとは言わんが、せめて >>1 のリンク先
くらいは読めよ

100MB のファイルを置いといたのに 56kB しか食べてくれなかった。

>>299
だよねぇ、なのにある会社の管理部はイントラ内で
大繁殖したからって感染PC全部初期化命令を出しよった。
ローカルディスクを初期化しろってさぁ
いくら危機的でも対処方法があるのにねぇ

2，3ヵ月後に又再発するに１５おしりコイン

>>311
　それ、面白い。俺もやろうかな、と思ったけど....
　やっぱ、無意味だよなあ。

２３時をまわったからダイヤルアップのアホどもも戦線に参加して来た。

無意味というか、無駄なトラフィック増やしちゃイヤ

>>295
再インストールしてもすぐ感染するから、パッチを当てないと駄目
>>299
パッチを当てようとしても、OSのバージョンアップしてないと、パッチが当たらないので、
サービスパックをダウンロードして、バージョンアップして、パッチを当てて、というのが、ものすごいじかんがかかる。

いや、Code Red がバッファオーバーフローしないかなと思ってｻ...

>>312
つーかバクドア削除してレジストリ戻して、なんて複雑な作業
できる奴のPCは総じてきっちり防衛できてて、パッチて何？
っていってるようなマヌーな奴のPCが軒並みやられてるわけよ。
でオフィシャル指示としては「感染したら初期化しろ」になったさ。
手順書つくれぇ？アホかーーーーーい。
おまえらの不始末までなんで俺らがかぶらにゃならんのってことよ。

>>315
テレホタイムはプロバイダの担当者帰っちゃってるだろうから
朝までログ集めて、まとめて送り付けて対策しろって言おうかな。

>>317
今の状態だと、そーやって再インストールしてる間に感染。

なんか、不思議だよな>ダイアルアップ
前回のアクセスからリブートしていないわけないと思うから
再感染なのかな。

>>319
じつはこの話、ちゃんとした情報処理の会社なんだけどね
しかも超大手･･･

インストール中はケーブルはずせやｺﾞﾙｧ

>>317
それ以前に､英語が分からなくて、パッチが当てられない人が大多数だと思うぞ。
パッチなんて、素人が当てるとは想定してないからな。

バッチを落としてる間に感染したら終わりじゃないのか？
初心者はバッチをメディアに保存して再インストールだな。
CodeRedの駆除法教えてください厨房に説明するのは疲れそう。

>>319
よく考えたら、IIS動かす必要のない奴に関しては
「IIS止めれ」
で済むのでは。バックドアもIIS経由だし。

>>323
オレがその大手の管理部だって発想はない？

>>328
ご愁傷さまです。

>>324
えぇだって、パッチはサーバに有るじゃん。
てか、DHCPサーバ探すのに時間がかかるしぃ｡
やだ、やだ、えらそうにぃ。
って言われる会社に１票

せっかく感染してるのだから、バックドアつかって直すとか。

The　Internetから切れ＞感染馬鹿

ほんとご苦労様です。
でも12時間もネット止ると仕事にならんよ
原因の通知だって、翌朝だし

>>331
もち社内だけね

そろそろ飽きてきたから、完全に消滅するか
面白い亜種をリリースするかどっちかにしろとか
思ってる俺は逝ったほうがいいかな？
土曜21時ぐらいが一番楽しかったんだが

IndexServerとisapi殺しとけ

なんでみんなせっかく感染してるマシンをばらしちゃうかなぁ。
もったいないよ？

>>331
それも考えたが、root.exeの場所を探すコード書くのは
意外と面倒だ。D:、E:あたりにInetPubがあるならまだしも、
M:とかQ:とかに配置してるような変態まで対処する気にはならん。

>>337
踏み台か、暗号コンテストにしか使えないマシンたちです。

気が付いて速攻削除して知らんふり決め込んでる奴もいるしな。
気持ちはわからんでもないが、防衛できたマシンにはアタック
ログばっちり残ってるんだからさ。ムダムダ。

アタックされたログを公開するのって法的に問題ありますか？
エロ動画ダウソ速度が落ちてﾌﾟｿﾌﾟｿなので晒してやりたいのですが。

あの〜これってWIN２０００とNTに感染するの？
っ〜うかマジでうぜえんだよ！！！！！

>>342
いっつ　つー れいと。

★２ｃｈが常時ＩＰ取ってる証拠？★
http://kaba.2ch.net/news/kako/994/994154317.html

以下の情報を記録させていただきました。
http://usagi.tadaima.com/2chbbs/subback.html

これってポートアタック以外に感染するって事あるんですか？
80さえブロックすればイントラはOKなはずですよね？

>>340
うちでは、ダイアルＵＰ接続馬鹿が居て、そいつがＬＡＮ内に持ち込んだ
ようなんだが、退職者のサーバに電源いれてそれが原因かのように言ってる。
ウィルスじゃなくて、ワームなんだってことに気が付かない言い訳が、哀愁
を誘うなり。

のんきだな
http://www.jwntug.or.jp/index-j.html
http://news01.jwntug.or.jp/openforum/index.html?ng=jwntug%2Eopenforum%2Ewindowsnt%2Esecurity

>>344
IPは公開するものだ。

AT&Tしっかりしてくれ。すさまじいアタック食らってんだよ

>>342 バックドアからやりたい放題だということはこの板を見れば
明白。未必の故意で捕まります。

>>346
人のせいにするやつ信用できない残念だけどクビ。

同じ会社のような気がしてきたぞ（笑
収集できたログの発動時間からしてダイアルアップ経由感染と踏んでるぜ。

NT4はSRPを入れれば大丈夫みたいやね
http://www.microsoft.com/japan/technet/security/nt4srp.asp

>>350
誤爆？

誰かそろそろ、全ネットワークがストップしたあのアホな会社を晒してくれ。

Win2kもproはデフォじゃ感染しないみたいだし、一般ユーザーは取り合えず安心ですね。

なんだかチャット状態ですね。

みんな見てくれよ〜ぶらくらじゃないから
http://www.nefty.net/desktop/haritsuke/imgboard.cgi

>>356
気が付かないうちに IIS インストールされてる Win2Kプロ
が沢山攻撃に参加してると思うのだが。

>>355
全サーバーWINで組むような駄目ネットワークは絶滅危惧種

誤爆ｽﾏｿ >>341 宛てでした

>>359
ちょっと不安になってきたんだけど、人のマシンに気づかれないようにIISインストなんてできるの？

だからあ、コンピューターの管理でサービスとアプリケーションの
下になんかない？

>>362
くとうてんがちがうのであつた

>>355
どこどこ？

>>363
インデックスサーバーがありますね。
これが停止していればOKです。

>>362
わかりにくくてスマソ。

IIS がインストールされていることに気が付いていない
Win2K Pro ユーザーが沢山いるだろうな、という意味。

>>366
デフォルトで停止してる？

>>366
停止しててもだめだよ。

>>366
違う！
index service 動いてる動いてないは関係ないぞ。

Win2kProってデフォルトじゃIISはインストールされないでしょ？
素人はサービス追加したり弄ったりしないだろうからまず大丈夫。
コンピュータの管理＞サービスとアプリケーション＞サービス＞インデックスサービスが停止してれば問題なし。
これが開始になってると非常にまずい。

default.idaあるないですね。

>>369
そうすよね！！
誰も気づいてくれないんだもの。

>>372
default.idaのパスは？

>>367
恥ずかしながら私がそうでした。
遅ればせながら対応しました。
無事でよかったけど・・・。

>>371
違うっつーのよ。いいかげんな情報流すな！

だってan httpd立てようとした時「８０は使われてます」って出たもの。

default.idaは無くてもidq.dllに渡されてしまうからだめ。
.idqと.idaに対するidq.dllへの割り付けを消してしまうかしないと。

もし感染してたとして
ＩＩＳをアンインストールすればＯＫ？

>>366
本当にOK？　うちではインデックスサービスが停止していても、
DLLが残ってると入り込めるらしいという情報が流れているのだが。

>>378
陳謝。

>>379
おまえみたいな奴があとからあとから出てきてこっちの仕事は
停滞しっぱなしだ。

サービスとアプリケーションの下層にインデックスサービスがあるんですけど中身が空なら安全ですか？

idq.dllのリネームで済まないか？

>>379
とめとけばあんまり良くないけどひとまずOk。
ただしSystem File ProtectionがOffになったまま。

>>379
全然ダメ。

>>384
それならパッチ当てたほうがいい

>>366
今回はこういう方達の大量感染なんで
どうにもならんでス。

　 　　　　　　　 　　　　 　　　／）
　　　 　　　　　　　　　､2)Y⌒ 　⌒フ　　　＋
　　　　　　　　　　　ｯ-i'´ 　　 　 　⌒フ
　　　　　　 　　　 (´ ,.-ﾞー-、 　　　 ろ、
　　　　　　 　＊　シ彡ノ"ﾐVv　　　　）
　　　　 　* 　　　ﾉﾉﾉﾉ"ヽヽヽミ 　　シ　 ／￣￣￣￣￣
. 　 　　　　　　　,l'）∩　 ∩ |)|ヾ　ミ　　＜　逝ってよし
　 　 　 　 　 　,○）、 ▽　 ﾉjl| YYﾞ　　 　＼＿＿＿＿＿
　 　 　 　 　　 {_∃ ｀l____/⌒'i|
　 　 　 　 　　　￣ Yl"ﾞ⌒lY　|　　＋
　 　 　 　 　 　 　　,ﾄ|＿_/ﾊ　i、
　　　　　　 　　　　,iﾆiﾆiﾆﾕ ﾞh,,）
　　　 　　　　　　 ﾉtYTYヾ＼
　　　 　　　　　　/''フ''''ー<"ヽ、
　 　 　 　 　　　/__ﾉ 　 　　＼ノヽ、
　 　 　 　　　 （＿_）　　　　　ゞ＿_）

>>386
ありゃ、Backdoor到達できたっけ？

>>384
ida/idqマッピング解除してScriptsを消せ。
実行権解除でもいいぜ。

>>388
かわいい〜

結局、ごちゃごちゃいわずに手順どおりにやれってことになるわけだ。

>>390
なるほど、実行権は確かに楽だ。まあIISなんていう
ステキなHTTPDは触ったことも無いんで、実は関係無いんだが

ワームの削除方法：


1. 次のWebサイトから修正プログラムをダウンロードして入手し、適用します：

http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033（日本語）

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp（英語）

これで一人減ったんでよかった。

-------ここまで読んだ---------
もう寝る。

／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
|　あしたまでに全部駆除しといて。
＼
　 ￣￣￣|／￣￣￣￣￣￣￣￣￣￣￣￣
　　∧＿∧　　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣
　 （　・∀・）　 ∧ ∧ ＜　もう、手詰まりです。
　（　　⊃ ）　 (ﾟДﾟ；)　　＼＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣ （つ＿つ＿＿
￣￣￣日∇￣＼| BIBLO |＼
　　　 　 　￣　　　=======　　＼

http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

iij大丈夫か？、、、
もう１０件も来てるぞ

いいかげんなこと言う前に >>1 と >>2 のリンク先は読んでくれよ．．．

そう言われるといいかげんなこと言いたくなるな

他のとこは勢い落ちてるのかな
俺んとこは、Win2kﾀﾞｲﾔﾙｱｯﾌﾟOCNで
2時間半で230件ぐらい来てる。早く鎮まって欲しい･･･

>>397 うぉ、一気に書き換わってる。

>>397
普段の低姿勢が無くなって、ちょいちょいと怒りが現れているね。

　　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣＼
　　　　　　　|　　IISが起こす昔からの騒動を見ていると　 　 　 　 |
　 ∩_∩　　|　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　|
　（´ー`）　<　　IIS自体がバックドアであるような気がするよ　　 　|
　（　　　）　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿／
　 |　|　|　
　（___）__）

インデックスサービスってｱﾝｲﾝｽﾄできるの？
サービスにIndexing Serviceっていう名前で入ってるんだけど、開始にはなってないが･･･

>>405

1に戻って以下読み直し。

>>397
でも HTTP のリクエストを攻撃パケットと呼ぶのは違和感ある...

>>405
できるけどしても意味ない

>>406
一応過去ﾛｸﾞは読んで、MSの修正ﾌﾟﾛｸﾞﾗﾑをｲﾝｽﾄしたりして感染自体はしてないんですけどね、
Indexing Serviceのｱﾝｲﾝｽﾄは過去ﾛｸﾞにはなかったと思ったんですけど

>>408
意味無いの？やり方だけでも教えくれないかな･･･

>>409
390みてください。

http://www.symantec.com/region/jp/securitycheck/codered_secutitycheck.html
ここでチェックソフト落としてチェックしてみた。

your computer does not appear to be vulnerable to the codered warm
と出たけど、英語わからん・・・。
coderedに弱くない？問題ないって事でええんかのー。

いや〜出始めの頃に落とされて良かったよ＞NNNNの頃

会社の社員が使っているIISマシン落ちてやんの。
SRP入れたから良いけど。

>>411
さいです

your computer does not appear to be vulnerable to the codered warm

アンタのPCにはCodeRedに対する脆弱性が見つからなかった

>>411
does notくらい読めるやろー

http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

一部転載させてもらおう

＞（Code Red II に）感染したホストについて は修正パッチを適用し再起動する(Code Redに対する対処)だけでは
＞まったく 不十分であり、レジストリ値の変更等も必要になる。また、こうした対処を しても、既にバックド
＞アを悪用された可能性もあり、システムの全面的かつ 徹底的なチェックが必須である。それが難しい場
＞合は、全面的な再インストール を行なうことが強く推奨される。

次のターゲットは、やっぱりこれ？
http://www.zdnet.co.jp/news/0108/07/e_ie.html
＃すまん、デマはよそう。

WIN2Kでインターネットにつないでしまった不幸なあなたに送る
バックドア検出ツール
http://localhost/scripts/root.exe?/c+net+send+localhost+やられてますよ

>>416のリンクが一番分かりやすい。
ここでごちゃごちゃいってる奴らははっきり言って要領を得ない。

ﾜﾗﾀ

>>418
なるほどこりゃいいね。

そろそろ次の展開がほしーな
だれか殺虫剤ワーム作ってくれー
名前はアースレッドでよろしく

>>419
・・・みんな君に解説してる訳じゃないんでね

まあ、誤解しがちな点が解決されたんではないか？
ましな情報源のをちゃんと読めという話は確かだが。

http://www.symantec.com/region/jp/sarcj/data/c/codered.v3.html

>>418 おお、いいんじゃないですか。
パート２立てるときは１に載っけといてよ。
# 「やられてますよ」って日本語じゃだめなんかな。

>>414
サンクス！

>>411
すまん、よめんのだ！バカなのだー。
でも、こんなバカの管理してるサーバーが大丈夫なのに、感染してる
サーバーが多いのは信じられないなー。

まとめると
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
のレジストリキーが存在、あるいは
c:\explorer.exe
d:\explorer.exe
c:\inetpub\scripts\root.exe
c:\Program Files\Common Files\System\MSADC\root.exe
が存在していれば感染。
タスクマネージャのプロセスにInetinfo.exeが存在（IISがインストール済且つ動作中）すればパッチを当てる必要有り。
パッチを当てるにはSP2インストール必要有り。

ってことでよろしいですね。

まとめてくれたのはありがたいんだが 15 分後には同じ質問が
出るよ、この回り具合だと。

>>４１８

http://localhost/scripts/root.exe?/c+net+send+localhost+やられてますよ
って感染してても表示されない気がする

>>428
万能backdoorありってことは、

・ログを消して(通用するのは休眠サーバだけだが)
・レジストリキーもそれなりに戻して、
・別のバックドア仕掛けてドロンジョ(古っ！！）

なんてことはないか？

厨房がUnixでWebサーバー立てる時代だからね

>>４３１
explore.exeなんて目立つ名前じゃないと発見少しは遅れるかな？

別のバックドア、トロイの危険性があるから
素人は素直に再インストールしろっての

さらにまとめるとWindows2000Pro.インストールしたまんまの状態ならIISは動作してないので問題なし。
不安ならバッチあてればなおよし。
Serverはデフォルトでバッチ当てる必要有り。

ってことでよろしいですね。

>>431
もちろんある。
rootkit の類を植えられてる可能性あるし、不安なら再インストール！
なのだが、厨房管理者はその辺神経質にならないから
問題なんだな。

>>428 まさかとは思うが、MeでExplorer.exe削除する奴は居ないよな。
NTと2000のIISは注意だけど。

>>435
IIS 動作させちゃうアプリってあるんじゃなかったっけ？
FrontPage とかどうだっけ
あとは Visual InterDev とか

>>438
IISを動作させるアプリをまとめて、これ使ってる人要注意みたいな感じで喚起するといいかもしれませんね。

>>473
ﾜﾗﾀ
ってーかMeや98にも感染するの？

>>360
> 全サーバーWINで組むような駄目ネットワークは絶滅危惧種
だったら保護して増やさなきゃ。

>>440
否

>>441
隔離

NT = rootkit

>>441
TCP/IP禁止。全部NETBEUIに戻す。

>>439
そうだね。うちは FrontPage とか無いので検証できないので、
知ってる人いたら教えてください。

とりあえず、>>435 は Win2KPro でもタスクマネージャで
確認、としておいたほうが良い気がする。

>>445
NetBeuiごしに感染するワームなかったか？
東急CATVで流行ったやつ。

一寸の赤虫にも五分の魂。

>>430
あれをあそこにああいうふうにコピーして実験した結果は
ＯＫだったけどそんな簡単なもんじゃないんだっけ？

うちのネットワークNetBeui禁止だよ。
何考えてんだか。

>>447
あいたたたた

>>450
ただただIPつなぐなというたわごとでした。マジレスすまん。以上。

>>446
そうですね。次スレ(あるのか？)の>>1にまとめましょう

ことあるごとに「Dialｳﾌﾟだめ」「RASだめ」と、ささやかな
我々の要望をうち砕く本社／親会社の情報システム部。
まさかCodeRedごときにやられたりはしませんよねぇ（ｗ

さあ、CodeRedを見事に撃退した彼らの奮闘ぶりをたたえまくろう！

…ちゅう新ｽﾚをﾁｸﾘ板に上げたいと思うが、どうよ？

>>454
どこどこ？

>>449
うちのだとlocalhostあてのnet sendは届かない。
　マシン名を指定すると届くけど。

漏れはユーザだが、けなすことより動かすことを考えようという気になった。
今日は寝るざんす。

>>454
CodeRedがらみのちくりスレは一つはあってもいいとおもう

>>457
管理者さんはエラいということざんす（人によるが）。でわ。

ありゃ？
24.49.*.*
なんてとこから来たよ。
210ばっかりだったのに。

　これで日本は（韓国も同じだが）サイバーテロ仕掛け
れば一発で御陀仏、お役所もマスコミも無力だと証明で
きたね。「ならず者国家」もブッシュ大統領も大喜びさ

>>461
遊びに使ってるのが殆どだからそれほどこまりまセーン。

やべ、210.91.32.2 の X 型から連続攻撃食らってる。
３秒間で連続23回＋８秒後に最後の一回アクセスがあった。
こんなの初めて見るんだけど新種？

かなりアタックが来てますね・・・
うちはMacのWeb共有というへぼい自家鯖ですが。
ログを見てると数分に一回は来ます。
主に中国系のサーバを媒介としているようです。

TCP Port6345に沢山おいでになってますが、何のバックドアやら。
昨日の昼はUDPだった。知ってもどうにもならんが。

6346の間違い。

>>466
どこかで見たようなPort番号…
と思ったら、それgnutellaですよん。

某CATVユーザーなんですが、自分のプロバのサポートに、
警告対応メールよろしくと言っても返事ないです(T_T)
（zonealarm警告が多発しているのに）

hinet.net にはログを送った。

>>467
Thanks。
なんだ、たいしたモンじゃないな (藁
到って禁欲的にしか使用してないもんで・・・

http://210.219.128.95/scripts/root.exe?/c+dir+"f:\XXX"
えろいのばっかもってる

今なら、root.exeでWeb改竄して自己主張し放題なのだろうか。。。
宗政分離ﾏﾝｾｰ
KomeiRed

>>471
デリっておやり

うちの apache に攻撃にきてるワームの元 IP、jp domain だけ調べると
.ad.jp, .ne.jp, (常時接続ユーザっぽい)、
.co.jp ばかりで、
.gr.jp, ac.jp がほとんど無い。
貧乏人は今回はほとんど攻撃を受けなかったのだろう
大学はほとんど IIS 使ってないのかな。

>>471
入手したいが方法がわからん(藁

>>475
wwwrootにコピって
httpから落としたら？

>>471
D:\にも魅力的なファイル名がいっぱい

>>471
入手しようとしたがファイルでかすぎ。
というかアクセス集中してんのか (藁

>>474
東大のNTサーバはIISだよ。

旦那の知らないところで妻がもてあそばれているというヤツですな。

>>478
アクセスが集中してるっつーか、増殖に忙しいんでは？
っつーか、ﾔﾒﾄｹﾖｰ。

むかつくからフォーマットかけようか
ntldrを削除か迷いますなぁ

謝罪と賠償を要求されるぞ（ｗ

>>481 すまん、思わず手が出た (藁

>>478
得ろ画像サービスなんてそんなもんか・・・

>>483
つーか、CodeRedにやられる奴がそこまでするか？
しかもやられたのがエロ動画
泣き寝入りっしょ

何とか TERUMI 画像と置き換える方法を考え中...

Name: s210-219-128-95.thrunet.ne.kr
Address: 210.219.128.95

krだぞkr（ｗ

>>479
そうか、やっぱ金持ち大学は違うな（藁

こいつSM好き？
金沢文子まであるよ

>>488
じゃ犯っちゃってOK?

>>486
まぁ、個人ユーザならそうかもしれんが、企業だったり
なんらかの団体が管理しているマシンだと要求されても
おかしくないと思われ。

企業はﾀﾞﾒｰ、個人ならｵｹｰってことではないので、念のため。

在韓日本人か？
それとも日本かぶれのチョン

火事場泥棒はﾔﾒﾚ。ﾏｼﾞﾃﾞ。

http://61.18.152.229/scripts/root.exe?/c+dir+"c:\movie"

inetnum: 61.18.0.0 - 61.18.255.255
netname: HKCABLE-HK
descr: HK Cable TV Ltd
descr: Cable Multi-Media Services
country: HK
admin-c: AD23-AP
tech-c: AD23-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-HK-ICABLE
changed: [email protected] 20001213
source: APNIC

person: administrator dns
address: 12/F., Cable TV Tower,
address: 9 Hoi Shing Road,
address: Tsuen Wan,
address: N.T.,
address: HK
country: HK
phone: +852-2112-7516
fax-no: +852-2112-7977
e-mail: [email protected]
nic-hdl: AD23-AP
mnt-by: MAINT-HK-ICABLE
changed: [email protected] 20000811
source: APNIC

>>495
たいしたのがないんですが・・・

どう見ても個人鯖だな
例え企業でもエロ動画置いてある会社って・・・
ﾌﾟﾌﾟｯ

だからﾔﾒﾚってば。ﾎﾝﾄに。
感染を放置している側に責任がないとはいわんが、
バックドアを仕掛けられてしまうのはワームのせいで故意ではないだろ。
しかし、そのバックドアを利用して侵入するのは故意だろ。
その違いをよく認識ｽﾚ。

>>495
スキャンディスクによる修復フォルダの多いマシンやな（ｗ

前スレよりモラルを維持してきたが、ここに来てアレになったようだ。

IISでFTPサーバーだけ動かしてるんだけど、これでも感染のおそれがあるの？
なるべくSP2当てたくないんだけど…。

はなからFTPだけだったら、問題ない。

うちの大学も犯されたらしい。
「本学の複数のコンピュータが侵入され…」だって。

http://www.jpcert.or.jp/

>>501 皆、エロに反応した (藁

ホントだな。この板にはそんなに厨房がおおいんか？
自ら「僕チャンバックドアを利用して他人のマシンを
覗いてマース！」って公言しているようなもんだろ。
ｷｦﾂｹﾛﾖ。

>>428

c:\Program Files\Common Files\System\MSADC\root.exe
には、なんにもなかったのですが、
c:\inetpub\scripts\root.exe
には、root.exeが存在していました。
感染しているのでしょうか？
パッチは当てているのですが。。。
すみません、教えてください。

感染後にFTPだけにするのは、仕込まれ後なんでアウトだけどってことで。

>>507
あぼーん対象です
頑張ってください

>>507
合掌です。

>>507
感染してます。すみやかに処置しましょう。
お大事に・・・

うげ。馬路すか？
ちなみに、root.exeを削除するだけじゃ、駄目ですよね？
もしかして、インストールし直し？　ﾄﾞｷﾄﾞｷ

2ヶ月ぐらい前のsadmindに気が付いてなかったとかなら笑えるかも。

>>512
まず回線切って、IISを無効にして、再起動しましょう。
とりあえずこれで、今以上の増殖と侵入は防げると思われ。

その後にココでも読んで、しっかり処置しましょう。
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html

>>512 とりあえす名前欄に fusianasan と入れてみ。

ゾーンアラームもいれたのに。。。時すでに遅し？

藁ってやってください。。。

>>513
あぁ、その可能性もあるねー。
>>507 は sadmind の可能性も考えたほうがいいと思われ。

全ネットワークが停止した会社か。
業界最大手の某社ですかね･･･

皆さんお待たせ〜
>>471と>>495のエロ鯖は次回リブート時に
system32以下ログもろとも吹っ飛びます。
思う存分お楽しみください。

ちなみに>>471のほうがレベル高いもの持ってるよ

実は、この一連の騒動で、
月曜日にOSインストールし直したばっかりなんです。
（コードレッドとは気が付かずに、別のトラブルかと思ったので）
ということは、sadmindの可能性は低いのでしょうか？
（sadmindについてはよく知らないので、今調べています。）
とりあえず、こちらから何かを送信している形跡はないのですが。。。
打つ足し脳

>>519
おお〜神様
なんていい人だ

>>519
ついでに使えるコマンド増やしてください
お願いします

>>519
ﾜﾗﾀ
知らせるにはちょうど良いな（藁

>>521 だまされるなっ! これは罠だ!!

>>520
きちんとフォーマットして再構築やり直したか？
上書きだと消えないだろうし、
復元だとバックアップ時点で感染してたら意味がない。

夏厨版になってしまった。

>>524
えっそうなの？

あー、今のうちにログを回収して >>519 のアドレスを確保しておこうかー。

>>525
CodeRedIIの仕様を知らないと思われ。

いつのまにか厨房のすくつになってしまったが
わらいがとまらん。。。。

>>529
いや、root.exe

もう一度いおう。
これからは、インターネットはこういうものになる。

>>531
はいはい

世界６大会計監査法人のひとつから
インバウンド食らってます（NISで遮断されてますが）

>>528
自分もログに残るよ(ｗ

>>525
すみません、つきあっていただいて。。。
フォーマットして再構築したのですが、
その後ネットに誤ってつながったときに
感染したのかもしれません。

回線切って逝ってきます。
ありがとうございました。。。

>>536
お大事に。

>>524
今ログ見てきたけど>>519まじでやってるよ

もう一度いおう。
これからは、インターネットはこういうものになっちゃった。

夏厨ちゃんのﾈﾀｳｻﾞｲ。

文子はモザイクあったよ
ｸﾛｳｼﾀﾉﾆ･･･

　　　　　　∧ ∧　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
〜′￣￣( ﾟДﾟ )　＜　今晩ワこれで終わり
　UU￣￣ U U　　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

wwwrootにあげたら
ファイル名きぼんぬ

独り占め禁止

自分たちが何をやってるか分かってるんだろうとは思うが。
バックドアからの侵入の話は他でやってくれないかな。

ダメです隊長ーーーーーー
みんなエロに目が眩んでますーーーーーーー (藁

死肉に群がるハイエナとハゲタカの群れを連想

http://pcweb.mycom.co.jp/news/2001/08/07/06.html
http://pcweb.mycom.co.jp/news/2001/08/07/17.html

Cドライブのプログラムファイルの中の
いくつかのアプリがいきなり消えてしまったんですが
関係あるのでしょうか？
どなたか教えてください。

default.idaをあひゃひゃにしといた

どーよ、誰かﾀﾞｳｿに成功したんか？

>>546 死肉というか、腐った鯖だがな (藁

ﾀﾞｳｿの話はﾀﾞｳｿ板に逝けよ

ログを入手したがリブートでファイルが消えるような細工が成功した
形跡は見られなかった。

>>549
自分で間違って消してしまった、ということは考えられないか？
IIS を動作させているのか？
OS は？

質問でしゅ。韓国・中国のネットワークは大丈夫なのでしょうか？
転送速度がちょと落ちるぐらいなのでしょうか？
それともネットが使い物にならない状態なのでしょうか？

感染してるやつのフォルダ消すにはどうしたらいいのかな？

おはよう、ドキュソくん減った？

>543

すんまそん　こぴーできませんが？

f:\XXX\Tokyo sluts2.mpg c:\Inetpub\wwwroot
The filename, directory name, or volume label syntax is incorrect.
0 file(s) copied.

っていわれます。

ﾄﾞｷｭｿは夜中だけにしてくれ・・・

HKにある機械の情報をJPから操作して取り出したらどの国のケーサツに
つかまるんだ？
いんたーぽーるかあ？

"GET /default.ida?XXXXXXX〜HTTP/1.0" 404
というのが今までのログだったが、GETもdefault.ida?も
なくて単純にXだけの羅列のログがいくつか残りだしている。
"XXXXXXXXXXX〜HTTP/1.0" 400
何だろう？

↑既出

>>561
日本から米国にアクセス（他人が仕掛けたﾄﾛｰｲ利用）して、
日本の警視庁に検挙された例ならあるよ。
ttp://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htm

裁判はHKだろね、被害者HKなら、たぶん
刑務所もか（ﾜﾗ

って、お祭り気分で目の前のエロに目がくらんで
やっちゃったﾄﾞｷｭｿ君たちにはもう遅いか・・・
よいこのみんなは真似しちゃだめだよ（はぁと）

なんかスレ内容変わってるし・・・
夏だねぇ。

CodeRedに感染したエロサイトがあったよ
でも、運営している人がどんな人か恐くて手が出せないYO!

捕まるわけないじゃん

ホント夏だねぇ〜。
わらかしてはもらったけど。

>>568
サイト管理者にメールしてあげるか、もしくは放置がよいと思われ。

さてさて、出勤するか。

>>559
パラメーターはこうだろ
"f:\XXX\Tokyo sluts2.mpg"+"c:\Inetpub\wwwroot"

>>564
覗いて見るのもNGなの？

jpnicのwhois見て連絡とろうにも、メールアドレスすら記入のない
技術連絡担当者って何様のつもり・・・。

夜中は厨房スレ化してるな（ｗ
さて、テレホタイムに集めたログ、プロバイダに送るかな。

見るだけならOKと思って固定IPで串も刺さずにアクセスしちゃったよ(TT

>572
はいそれもやりました。
でもダメでした。

>>574
あーいるねぇ。

仕方ないから会社名や電話番号で検索かけてみてるけど、
なくなってるとことか社名変更してるとことか、確証がとれな
くて鬱。

今日の朝からポート.80だけじゃなく8080にも来るようになってるなぁ
これも Code Red？

ポート: 8080
モード: TCP
IP アドレス: 217.3.91.183
ホスト名: pd9035bb7.dip.t-dialin.net

>>579
アクセスログはどんな感じ？

Ｚ登場
Ｚが親でＡ，Ｃの子供を自己増殖
GET /default.ida?ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
GET /default.ida?AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
GET /default.ida?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC

>>574
(1) ヤーさま。
(2) ただのおやじ。

>>581
GET /default.ida?萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え萌え
GET /default.ida?鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱鬱
(ただしUTF-8に変換)

>>580
こんな感じ
01.8.8 9:56:30 AM 拒否 Web 共有 kk-393.alphatec.or.jp
01.8.8 9:56:20 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:18 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:15 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:13 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:11 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:56:08 AM 拒否 不明 (8080) 61.129.120.179
01.8.8 9:55:46 AM 拒否 Web 共有 210.107.98.33
01.8.8 9:55:45 AM 拒否 Web 共有 210.107.98.33
01.8.8 9:54:18 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:17 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:16 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:54:15 AM 拒否 不明 (8080) 210.14.229.53
01.8.8 9:51:37 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:51:37 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:51:36 AM 拒否 Web 共有 210.109.54.5
01.8.8 9:50:25 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:50:21 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:50:18 AM 拒否 Web 共有 yokohamako2-158.ppp-1.dion.ne.jp
01.8.8 9:48:28 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:48:27 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:48:26 AM 拒否 Web 共有 210.73.76.5
01.8.8 9:42:09 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:08 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:07 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:06 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:05 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:42:04 AM 拒否 不明 (8080) pd9035bb7.dip.t-dialin.net
01.8.8 9:41:51 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:41:50 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:41:49 AM 拒否 Web 共有 210.101.100.106
01.8.8 9:38:15 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:09 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:04 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:38:01 AM 拒否 不明 (8080) 211.95.67.243
01.8.8 9:37:59 AM 拒否 不明 (8080) 211.95.67.243

アナログモデムにて接続中、やたらとモデムのアクセスランプが点滅する
↓
何で？と思ってモデムのプロパティを見ると、大量のパケットを送信中
↓
もしや？と思ってnetstatを見ると、いろんなサイトのport80に接続中
↓
そんなバカな、と思ってタスクマネージャを開くと、IIS動作中。
↓
ガ━━（ﾟДﾟ；)━━ン！

>>584
バックドアだのがあいてるところ、巡回中なんじゃないか？

ADSLで接続中、突然通信できなくなる
↓
プロバイダがCodeRedのパケットストームで落ちていると断定
↓
「ｺﾞﾙｧ! CodeRed喰らって落ちてるぞ。早く直せｵﾗ」と電話
↓
「お客様のマシンからCodeRedのパケット出ておりましたので切り離しました」
↓
ガ━━（ﾟДﾟ；)━━ン！

５　不正アクセス禁止法違反
（１）他人が仕掛けたトロイの木馬系ハッキングプログラムから取得したＩＤ、パスワードを使
用して、アメリカ合衆国に設置された有料ゲームサイトの認証サーバーに対して不正アクセスを
行い、ゲームを行った。（平成１２年２月検挙。警視庁）
（２）有料掲示板「２ショットチャット」の認証機能が甘いことに乗じ、自作ＣＧＩプログラム
を使用してセキュリティホールを突き、パスワードを入力することなく不正アクセスした。ま
た、不特定多数の者が当該掲示板にアクセスできるようなリンクを自分の管理するホームページ
上に作成した。（平成１２年６月検挙。北海道、富山）
（３）インターネット上の掲示板で知り合ったハッカーグループが、インターネットで不正に入
手した他人の識別符号を使用して、大学やプロバイダーに対して、その管理者等になりすまして
不正アクセスした。（平成１２年１１月検挙。愛知等）

ドキュソ八倉厨房が多いねえ（　´∀｀）

>>ガ━━（ﾟДﾟ；)━━ン！
これいいねぇ（ｗ

>>581
新しい亜種って事？

（３）専門学生（２０歳）は、ホームページの中の爆弾マークをクリックすると自動的に１１０
番につながる携帯電話（インターネット接続）のホームページを開設し、多数の事情を知らない
閲覧者に１１０番させ警察の通信指令業務を妨害した。（平成１２年８月検挙。偽計業務妨害。
警視庁・高知）

これいいねぇ
ブラクラも業務妨害罪？（ｗ

ポリが罠張っているのに気づいてない厨房も多いね、このスレ（ｗ

IIS鯖からのoutgoingのsynパケットを弾くように
パケットフィルタを設定してください

>>592
ﾜﾗﾀ
どんな罠だよ
ﾀﾞｳｿ板は行った方が大漁だぞ(w

8080は手動でしょうね。うちのルータの弾きログには１個もないよ
137と53舐めが3回ずつ、80は今日だけですでに一千行超えてる・・・
Apachは1行だけどルータは3行記録するからねぇ

先週RT50iが落ちまくったんで
ファームウェアをRev.3.05.38にしたけど、
3日目にしてまた落ちた。
なんか対応策無い？
お盆休めないな、このままじゃ。

>>595
BlackICEで見ると6カウントずつだけど。SYNのリトライは6発ずつ(攻撃側OSのデフォ?)で、
ルータが3行以上は記録抑制してるだけか。

対策方法が１つだけある！ログ取るな！

>>596
うちは http service off にして、念のため
httpd listen 8080
httpd host none
とかしているけど。今のところ大丈夫みたいだが。

8080はproxyを探しているに一票