01/08/01 00:34
>>98-99
うるさいなー、リンク先だけ貼りゃいいじゃん!
101:名無しさん@お腹いっぱい。
01/08/01 02:11
>>100
俺様がCATVでTechTV見ながらチンポ立てて立てたスレだ…
おめーこそ、うるせえ!
102:名無しさん@お腹いっぱい。
01/08/01 17:39
今日はCoadRed来なかったな~。せっかくIISを使ってるヤツらを
嘲笑おうと思ってたのに。
つまらん。
103:名無しさん@お腹いっぱい。
01/08/01 18:13
台湾ドメインの奴がしつこくsircam送って来る。
早く感染に気づいて欲しいんだが。
とりあえず、受信拒否リストに加えておいた。
誰かsircam警告文(英語版)を作ってアプしてくれー
104:英語なら
01/08/01 19:16
URLリンク(www.excite.co.jp)
ここでやれ!
どこかのセキュリティサイトで紹介していたが、忘れたわい。
105:名無しさん@お腹いっぱい。
01/08/01 21:10
>>104
そんないい加減なヴァカ訳、あてにできるかっ!
106:どうよ?
01/08/01 21:35
***** VIRUS ALERT! *****
I received a computer virus from your e-mail address.
> Hi! How are you?
>
> I send you this file in order to have your advice
>
> See you later. Thanks
If a e-mail body contains such text, its appending file is the virus 'W32/sircam'.
It seems that your computer infected with 'W32/sircam'.
Please visit this web site.
URLリンク(www.sarc.com)
107:CoadRed
01/08/01 21:55
CoadRed 来ねぇなあと思ってたらやっと来だした。何だか嬉しい。
今晩がヤマか?
adsl-63-205-115-199.dsl.lsan03.pacbell.net - - [01/Aug/2001:21:15:31 +0900] "GET /default.ida?
108:ななしさん@おなかいぱーい
01/08/01 22:27
うちも来だしたよ。うれしいなぁ。
162.105.177.30 - - [01/Aug/2001:21:14:57 +0900] "GET /default.ida?
109:番組の途中ですが名無しですか?
01/08/01 23:45
皆さん誤解しているかもしれませんけど、基本的にこのウイルスが送られてきたメールアドレスは実際のものとは違うようですよ。
だから、どこどこから送られてきた、と騒いでも無意味ですよ。
110:番組の途中ですが名無しですか?
01/08/01 23:47
正確には感染者のメールアドレスとは違う、という事みたいです。
111:名無しさん@お腹いっぱい。
01/08/01 23:49
>>109-110
うっそん! あまりに同じ奴から来るから、返信しちゃった。
112:CoadRed
01/08/02 00:00
CoadRedの話でもりあげてんのに変なこというんじゃねぇ!
何がメールアドレスだ!(藁
113:名無しさん@お腹いっぱい。
01/08/02 00:04
CoadRedの話されてもね。どうせならCodeRedの話にしてくれないか?
114:ななしさん@おなかいぱーい
01/08/02 00:16
もりあがってまいりました。
115:お腹いっぱい
01/08/02 01:22
とりあえず、CodeRedはこれぐらいだ。
212.188.31.221
61.72.51.30
211.116.41.169
141.150.202.235
206.8.81.97
212.1.148.201
61.218.157.179
194.165.225.59
195.181.148.130
4.41.35.61
209.26.105.2
12.40.51.204
64.219.216.106
216.196.251.126
12.40.86.92
61.127.11.90
62.41.134.142
12.99.26.44
203.239.60.228
65.0.117.85
64.56.166.245
216.115.241.11
202.104.117.37
193.8.140.198
116:名無しさん@お腹いっぱい。
01/08/02 11:26
CodeRedウゼー
昨日の夜からアタック増えたヨ…
117:名無しさん@お腹いっぱい。
01/08/02 13:06
>>109は嘘。
IPやPCの名前、添付ドキュメントの作成者を照合すると、
感染者自身のアドレスだとわかる。
118:名無しさん@お腹いっぱい。
01/08/02 15:23
同じ人から4.7MBと2.8MBのSIRCAM2通来た
119:CoadRed
01/08/02 15:32
クラック EVERYDAY PEOPLE
URLリンク(people.site.ne.jp)
なんでこんなに楽しい時期に夏休みするんだよ~~~。
120:名無しさん@お腹いっぱい。
01/08/02 15:34
code redのスペルチェックしろ(藁
しかも思いっきりスレ違い
121:Red
01/08/02 18:54
ネタがわからんのか?
時期同じくして皆兄弟とイウコトデ
122:120
01/08/02 18:58
スマソ、でも「協同広告」ってなにさ?
123:user
01/08/02 21:01
会社の管理者にcode redって何?って聞いたら
シマンテックの w32/sircam 案内のリンクを教えて頂きました。
丁重に削除の仕方まで。こんな管理者に一言どうぞ。
124:名無しさん@お腹いっぱい。
01/08/02 21:58
「オー人事、オー人事」
125:名無しさん@お腹いっぱい。
01/08/02 22:11
>>123-124
ワロタ
126:user
01/08/02 22:22
くらぁ!浅田飴! しっかりせんか。!
svho01.asadaame.co.jp - - [02/Aug/2001:21:23:57 +0900] "GET /default.ida?
まだ売れてんの?飴。
ところで、特定のWebサイトがIISやらapacheやら検索チェックしてくれるサイトがあったはずだが、失念したのでおしえてくださいまし。
127:名無しさん@お腹いっぱい。
01/08/02 22:24
WEBサーバーの種類知りたいだけなら
HEADでも送ったらどうか。ダメなとこもあるけど。
128:名無しさん@お腹いっぱい。
01/08/02 23:34
>>126
URLリンク(uptime.netcraft.com)
129:user
01/08/03 02:19
>>128 ありがと~
130:名無しさん@お腹いっぱい。
01/08/04 20:06
CodeRedって1時間毎に行動するの?
ログ見ると0分+-5分辺りに集中してるんだけど。
131:名無しさん@お腹いっぱい。
01/08/04 21:44
これ迄CodeRedと思われるリクエストは全て
GET /default.ida?NNNNNNNNNNNNNNNNNN~
だったんだけど、PM8:30から急に
GET /default.ida?XXXXXXXXXXXXXX~
に成ったよ・・・変種発動?
8:30から既に30件程来たけど、ぱっと見で解る日本人らしきIPは
zaq3d73b257.zaq.ne.jp - - [04/Aug/2001:20:30:18 +0900]
hcc3d73d5a5.bai.ne.jp - - [04/Aug/2001:21:33:14 +0900]
の二つ。 どうにかしれ
132:赤線
01/08/04 22:25
この期に及んで、IISが止まるだの、変だのと某ニューズグループへ
管理者さんからとおもわれる質問が多いのですが、何か一言。
msnews.microsoft.com
133:名無しさん@お腹いっぱい。
01/08/04 23:21
ZAQ下のIPからやたらCodeRed来るから info@zaq.ne.jp 宛に
御社からのCode Redアタックが多発しています。
LOG列挙
上記の会員、主に~~への警告もしくはポート封鎖等の対処をお
願いします。
て出しちった。
134:名無しさん@お腹いっぱい。
01/08/04 23:22
俺もNethomeに出してやろうかな
135:なー
01/08/04 23:27
うちにはhome.comからが大量に…。
caドメインesドメインhuドメイン。どこよ?(^^;
136:名無しさん@お腹いっぱい。
01/08/05 00:13
>>133
>>134
どんどん出せー。
って書いてるうちにまた来た... ウチもZAQだ。(w
1回/3分くらいの割合だな、こりゃ。
137:名無しさん@お腹いっぱい。
01/08/05 00:17
>>135
ca→カナダ
es→スペイン
hu→ハンガリー
138:名無しさん@お腹いっぱい。
01/08/05 00:54
あまりにも,哀れなので感染者にはコンソールメッセージを送ってあげました.
果たして気付いてくれるのやら…
139:赤線
01/08/05 01:03
NからXになって変わったところ。default.idaってファイルを実際に置いてみた。
Nではエラーコードが400でエラーで返しているけど、Xで来たヤツは200だった、とりあえずエラーコード気に入らなかったのでヨシとしてやる。
ついでにウインドウオープンで他のファイルを開けるようにしたんだけど。
(default.ida)
<HTML>
<HEAD>
<SCRIPT LANGUAGE="VBScript">
<!--
Sub window_onLoad()
window.window.location.href = "open.htm"
end sub
-->
</SCRIPT>
<TITLE>New Page</TITLE>
</HEAD>
<BODY>
</BODY>
</HTML>
open.htm
<html>
<head>
<meta http-equiv="Content-Type"
content="text/html; charset=x-sjis">
<meta name="GENERATOR" content="Microsoft FrontPage Express 2.0">
<title>CodeRED</title>
</head>
<body bgcolor="#FFFFFF">
<form method="POST">
<p align="center"><textarea name="S1" rows="8" cols="113">It is committed by CodeRED. Please do not send a packet to me. Management is random. Please intercept a power supply.
URLリンク(www.eeye.com)
</form>
</body>
</html>
これって相手の画面に出るのかしら?
Apacheからだと旨くいくのだが。
140:名無しさん@お腹いっぱい。
01/08/05 01:03
漏れの自作ポートスキャン、空いてるポート見つけたら
逝ってくれ×65535回送る様にしてんだけど、
「逝ってくれ」の代わりに「CodeRedに感染してるよん」て
送ったら気付いて貰えるかな
141:名無しさん@お腹いっぱい。
01/08/05 01:05
>>139
WormがIE使ってアクセスしてくると思ってる?
142:名無しさん@お腹いっぱい。
01/08/05 01:20
コンソールメッセージってもしかしてNT4.0だと使えんの?
なんか,半分以上のpingの通るコンピュータに弾かれる.
143:赤線
01/08/05 01:28
141
アホIISだからIEが「おれ呼んでる?」って 開いてくんないかな?と思ってさ。
144:名無しさん@お腹いっぱい。
01/08/05 01:32
毎分160ぐらいくる
145:sage
01/08/05 02:37
>>140
それ作ってくれ。たのむ。
ついでに、テキストエリアに改行で入れたIPに順番にやってくれるようにして、送るテキストも自分で編集できるようにすれば完璧だ!!
146:貢献したいね。
01/08/05 02:45
そうだね、
少しはIISのアホ仕様はほっといても、アポ管理者を助ける手だても
いるのでは?と感じた。楽観視もいいが、これほどLogの肥大化と
ほったらかし管理者に(中にはずっときがつかない)注意ぐらい自動化
したいね。
強制コメント出すとか、(CRTとかoffだとだめだな)電源落とすとか(^_^;)
こっちがクラックしてるみたいだけど、やむ終えないでしょう。
アクセスされたらIIS停止させるヤツイイカモね。
147:名無しさん@お腹いっぱい。
01/08/05 02:54
どこで見かけたんだったか…。
「ヘンな添付ファイル付のメールが来ました。開いてみたらウィルス
だったみたいです。感染しちゃったかもしれません」という書き込みを
していたヴァカがいた。
もちろんサーカム。
いや、書き込みする前に駆除対策をしろよって思った。
ウィルスに感染しても目立った症状が出てないから大丈夫、と思ってる
らしい。
お前からメール届いて迷惑してんだよ!
148:さげ
01/08/05 03:05
ダウソさせるのいいね。
ログに「くたばれクソ管理者!!」とのこしてダウソさせよう。
いくらクソ管理者でもダウソしたらログぐらい見るだろう。
とにかくクソ管理者をどうにかしよう。
つーか、クソ管理者がいなくなればIISなんてなくなると思われ。
149:名無しさん@お腹いっぱい。
01/08/05 04:05
IISを停止させられる様なセキュリティホールってあるの?
150:というより
01/08/05 04:55
コードレッドで最初にこられると止まってるぜ、IIS。
でも、よそへはクラックに出てるんだ。
>>148
ダメです、IIS管理者からlogはどこへあるんですか?と聞かれました。
笑うどころか、くしゃみが出たわい。
151:名無しさん@お腹いっぱい。
01/08/05 10:04
VBSとかでコンソールメッセージを返すこととかできんの?
Messengerサービス止めていたら意味無いけど…
152:sage
01/08/05 11:57
>>150
止まってるとは?
クソアクセスがきたページも見れるが何か?
153:そりはね~
01/08/05 12:55
>>152
おりが、くそ管理者の相談をうけて最初に確認したのは、
インデックスサーバーの状態にもよるが、最初に感染する場合
IISが止まる > はて? とアホがIISのコンソールから
開始ボタンを押す。
普通にうごいてんで感心無し。これへいきおいidaが来ても今度は
止まらない。普通にIISでのページがみれるんだよ。
最初の止まった時点で 情報収集すればぁなって思った。
だから150の見られたページってのは、止まった感染済みIISを
アホがそのまま起動したにすぎない。
154:152
01/08/05 12:59
そうなのか・・・
155:名無しさん@お腹いっぱい。
01/08/05 13:02
>>154
ウイルスサイトの対処方法にはIISの再起動だけで直るって書いてたから
普通は停止しないけど、IISが停止する亜種もあるって事じゃないのかな?
156:133
01/08/05 17:06
ZAQから返信が来た。。。
どうも問い合わせが多いらしく、意味不明の定型文らしき物が
返ってきた。。。んー
157:133
01/08/05 17:13
> 調査にあたり、実際にアクセスのあったサイトのURLとその時間やIPアドレス
>等の詳細な最新ログ等を頂けないと調査の術がございません。
>つきましては調査に必要な詳細なログ等をお手数ですが、再度ご返信頂けな
>いでしょうか。
とあったのですが、ISPってWWW鯖の稼働ログ等の他に、
各ユーザのセッションを細かく記録しているのでしょうか?
知らなかった。。怖い怖い
158:某ISP勤務
01/08/05 17:26
>>157
ISP はどの時間、どのユーザにどの IP アドレスを割り振っていたか
ちゃんと記録しています(従量制課金の場合はこのログをもとに課金します)。
SPAM を送った馬鹿野郎なんかの調査も、このログとメールの
Received ヘッダを突き合わせて犯人を特定します。
逆に言うと、IP アドレスから個人情報を特定するには、このログが
ないと不可能です。IP アドレスをさらすと個人情報が漏れると信じてる
厨房もいるようですが、このログと顧客データベースを照合できないと
個人情報はわかりません。
159:133
01/08/05 17:36
>>158
いや、
>実際にアクセスのあったサイトのURLとその時間やIPアドレス
のURLって、ISP側からはセッション単位迄細かく記録してないと
無意味じゃないですか。
こっちはhttpdのログを送ったんですが、それでも足りないと
言われたので、足りないとしたらうちのIP位かなと。。。
やっぱり無差別定型文だったんだろうかT-T
160:133
01/08/05 17:39
一応133の後に来たzaq下のIPを加えて
このhttpdログの他に何が必要なのでしょうか?
と返信しておきました。。
161:158
01/08/05 17:50
>>159
うーむ、透過型プロキシを使ってる ISP ならログを取ってるかもしれんが、
今回の場合は認証サーバのログでじゅうぶんだよなぁ。
何か勘違いしてるのかもしれん。
162:名無しさん@お腹いっぱい。
01/08/05 17:54
あれ?俺もJ-COM@Nethomeにログ付きメール出したばっかり
なんだけど、それだけじゃ足りないのかな
163:133
01/08/05 18:01
素早い返信
>言葉足らずで申し訳ございませんでした。
> 下記のようにIPアドレスを含んだ形でのログを提供いただけましたら、という
>意図でご返信させていただいた次第でございます。
ネームじゃなくIPで晒せや(゚Д゚)ゴルァ と言う事だったらしいです。
しょうがないので全て手動で引いてやりました。 ハァ zaqよ。。
164:162
01/08/05 18:04
なるほど、じゃあうちのログは ホスト名(IP)って形式になってるから
平気かな。そもそもNethomeだからコンピュータ名みれば速攻だけど
165:名無しさん@お腹いっぱい。
01/08/06 12:03
なんで通報する側がそこまでやってやらにゃならんのだ。
zaqって・・・。
166:インターリンク撃沈
01/08/06 12:45
URLリンク(www.interlink.or.jp)
167:133
01/08/06 16:36
今度は同じISPからのアタックが増えてきたw
こっちも通報しとくか。。
168:167
01/08/06 17:03
素早い返信
>ご連絡頂きました情報を元にこちらで調査致しましたところ、該当す
>ると思われる会員を特定致しました。ウイルスによるものですのでご本
>人様もお気づきで無い可能性が高いと思われますので、こちらより該当
>のお客様へは事実確認、および注意喚起させて頂きます。
zaqとは一味違うw
169:167
01/08/07 20:10
同じISPからのアタックは激減したがzaqは相変わらず。
と言うかかなり増加してるw zaqよ。。
170:名無しさん@お腹いっぱい。
01/08/07 20:38
zaqは糞。
171:167==133
01/08/08 19:30
あのーーーー 今日になってzaqから
>今回お送り頂きました情報で調査しましたところ該当のアクセスは
>弊社ユーザーの「CodeRed」感染端末からのワーム活動と判明
>致しました。
こんなメールが来たんですが。 藁藁
何やっとんじゃ。。。
172:名無しさん@お腹いっぱい。
01/08/08 21:26
うち、win2000なんだけど、sircamのファイルをうっかり開けちゃいました。
そしたら送ったけど帰ってきた、みたいなsircum添付メールが3つほど送られてきました。
2000には感染しないとありましたが、実際はどうなんでしょうか~?(汗
やばいっす。
173:名無しさん@お腹いっぱい。
01/08/08 22:13
>>172
それ感染してるよ。
アドレス帳にある使われていないアドレスに送ったんだと思う。
他のアドレスにも送ったと思われ。
174:mgate.chello.at
01/08/08 22:19
>>172
URLリンク(www.trendmicro.co.jp)
ココ見てみると↑win2kも一応感染するらしいね。
HKEY_LOCAL_MACHINE\~~~~\RunServicesの値ってwin2kに有ったっけ?
HKEY_CLASSES_ROOT\exefile\shell\open\commandの値確認してみ。
C:\Recycled\SirC32.exe "%1" %* の値設定されてるとhook。exeに関連付け。
でも、俺の2k、C:\Recycledなんてディレクトリ無いぞ。
win9xからのアップグレード版2kだと残ってるのかな。。。
175:名無しさん@お腹いっぱい。
01/08/08 23:04
何をいまさら・・・
176:
01/08/09 00:20
177:172
01/08/09 01:42
>>173-174
やっぱり~?!どうしよう。でも全員に送ってるわけじゃないのかな・・・
友達(2人)に確認したら、2人とも来てないって言ってた・・・
178:名無しさん@お腹いっぱい。
01/08/09 02:25
>>174
ウイルス削除したらexeがほとんど動かなくなって、
レジストリもみれなくなりました~。
179:172=177=178
01/08/09 02:26
です。
180:名無しさん@お腹いっぱい。
01/08/09 02:31
>>177
経験からいうと
すべての人に必ずしも送信するわけではないみたい。
パソコンの中にあるワープロや表計算ファイルを
勝手に添付ファイルとしてランダムに送信するから
たち悪いよね。
181:名無しさん@お腹いっぱい。
01/08/09 02:33
>>178
それも経験した。
ノートンで最新バージョンをダウンロードしても
ウイルスを発見することは可能だが
修復することはダメみたい。
選択項目が削除しかなくて、削除したら同様の現象に。
でもバックアップHDDをつんでいたから
被害は最小限で抑えられたけど。
182:172
01/08/09 02:47
>>180
うううう~!もしかしてワシの描いたモロエロ汁たっぷりイラストとかも?
他の人に確認するのがこわい・・・マジで鬱だ死のう・・・
>>181
再インストールします~。ワシも98とデュアルブートしてたから、とりあえず
そっちからデータのサルベージすることにします~。
183:名無しさん@お腹いっぱい。
01/08/09 02:50
>>182
そのイラストアップして(W
184:名無しさん@お腹いっぱい。
01/08/09 03:18
ここんとこノートンアンチウィルスでliveupdateすると
毎日のように新しいウイルス定義が送られてくるよ。
185:
01/08/09 13:15
->172
ヂュアルブートなら感染するわな。。。
186:172
01/08/09 16:54
>>185
う~ん、でも98の入ってるcには感染してなかったよ。(c=98 E=2000)
187:名無しさん@お腹いっぱい。
01/08/09 19:39
落ち着いたかと思ったら
まだしつこいのが来る>サーカムメール
発信者とその加入ISPのクレーム窓口アドレスに
宛てて対処してくれるようメールしたんだけど、
余計なお世話だったかな…
188:
01/09/05 01:07 xMLSndc.
eu
189:名無しさん@お腹いっぱい。
02/01/24 07:32
凶牛病
190:名無しさん@お腹いっぱい。
02/03/24 01:33
keep
191:名無しさん@お腹いっぱい。
02/07/24 13:44
サーカム
192:山崎渉
03/01/15 16:05
(^^)
193:山崎渉
03/01/16 04:07
(^^)
194:名無しさん@お腹いっぱい。
03/04/09 22:53
釜玉の作り方
①うどん(乾麺or生麺)を茹でる
②ねぎ、ごまなど好みの薬味を準備
③丼に卵一個を割り、溶く
④茹で上がった熱々の麺を丼に移し卵とかき混ぜる。
⑤薬味を入れる
これで東京のはなまるよりうまーな釜玉の出来上がり♪
195:山崎渉
03/04/17 12:11
(^^)
196:山崎渉
03/04/20 06:18
∧_∧
( ^^ )< ぬるぽ(^^)
197:山崎渉
03/05/22 02:21
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
198:山崎 渉
03/07/15 11:19
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
199:名無しさん@お腹いっぱい。
03/07/22 18:57
ぬるぽ
200:名無しさん@お腹いっぱい。
03/07/22 19:12
(σ・∀・)σ200ゲッツ!!
201:ぼるじょあ ◆yBEncckFOU
03/08/02 04:57
∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎―――◎ 山崎渉&ぼるじょあ
202:山崎 渉
03/08/15 23:30
(⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
203:つんく
03/08/16 00:17
URLリンク(elife.fam.cx)
204:名無しさん@お腹いっぱい。
05/01/24 15:37:37
4
205:名無しさん@お腹いっぱい。
05/03/17 06:20:48
TEST
206:名無しさん@お腹いっぱい。
05/07/08 09:42:29
てst
207:名無しさん@お腹いっぱい。
06/06/03 10:09:19
omakk
208:名無しさん@お腹いっぱい。
07/12/05 23:39:01
test
209:名無しさん@お腹いっぱい。
08/01/14 07:13:19
スレリンク(newsplus板:18番)
210:名無しさん@お腹いっぱい。
08/01/22 22:11:20
焼き品質が
211:名無しさん@お腹いっぱい。
08/05/30 13:28:34
test
212:名無しさん@お腹いっぱい。
11/01/10 00:04:44
male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me."