X
トップページ自宅サーバ
341コメント132KB
この鯖ワームにやられてます
0001DNS未登録さん
垢版 |
03/02/08 17:15ID:???
自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!

管理者がこの板みて、対処を期待する。
0191DNS未登録さん
垢版 |
03/06/25 18:58ID:wfI9oVW0
超過激ライブチャット登場!!!!!

あなたの命令で若い娘たちがヌレヌレモードへ

☆★アメリカ西海岸発☆★モザイクなし☆★

あなたの言葉で・・・ヌードにさせてください
あなたの指で・・・感じさせてください
あなたの声で・・・イ・カ・セ・テ・ください
寂しがりやの留学生の若い娘がお待ちしております!

ただいま、10分間無料で体験できるほか7日間会費無料!!

http://www.gals-cafe.com
0193DNS未登録さん
垢版 |
03/07/03 03:00ID:???
6月分のcodered。
01/Jun/2003 30
02/Jun/2003 37
03/Jun/2003 24
04/Jun/2003 31
05/Jun/2003 30
06/Jun/2003 24
07/Jun/2003 24
08/Jun/2003 27
09/Jun/2003 31
10/Jun/2003 38
11/Jun/2003 30
12/Jun/2003 37
13/Jun/2003 40
14/Jun/2003 20
15/Jun/2003 25
16/Jun/2003 33
17/Jun/2003 27
18/Jun/2003 22
19/Jun/2003 21
20/Jun/2003 28
21/Jun/2003 24
22/Jun/2003 22
23/Jun/2003 27
24/Jun/2003 34
25/Jun/2003 26
26/Jun/2003 32
27/Jun/2003 33
28/Jun/2003 32
29/Jun/2003 24
30/Jun/2003 16
0194DNS未登録さん
垢版 |
03/07/05 03:27ID:???
これワーム関係?初めて見たんだけど
それともアタック?
2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-"
2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-"
2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-"
2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-"
2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
全67行
0195DNS未登録さん
垢版 |
03/07/05 04:45ID:???
アクセスしようとしてるファイル名から推測すると
IIS狙いのワームでないかい?

うちにはまだお見えになられてないです
0196DNS未登録さん
垢版 |
03/07/05 14:20ID:???
>>194
> 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"

cgiwrapの設定不備狙ってる?
IIS狙いとは言い切れない予感。

例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル
0199山崎 渉
垢版 |
03/07/15 11:10ID:???

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄
0200DNS未登録さん
垢版 |
03/07/26 11:29ID:???
孫さん家の人が衛生管理していないので、「出禁」にしています。
衛生管理出来る様になったら、タイム系サーバーを追加して
監視兵を置くかな・・・
0201DNS未登録さん
垢版 |
03/07/29 04:10ID:???
そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。
0202DNS未登録さん
垢版 |
03/07/29 14:30ID:???
最近、損さん家のf@t息子が猛烈アタックしてきます。
UDPの3010・3012・3013と投げてくるけど、これ何でしょ?
0204ぼるじょあ ◆ySd1dMH5Gk
垢版 |
03/08/02 05:04ID:???
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ
0206DNS未登録さん
垢版 |
03/08/05 10:39ID:FAyYsQpc
あげ
0207DNS未登録さん
垢版 |
03/08/05 11:08ID:???
>>205
なんで書き換えられちゃうわけ?あなたの会社のサイト
ろくにパッチも当ててないDQN鯖官なのけ
0208205
垢版 |
03/08/05 11:11ID:???
>>207
ごめん、動揺して説明たらずだった。

会社きて、自宅のHP見てみようとしたら、書き換えられてた。
自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。

はぁ…
0209DNS未登録さん
垢版 |
03/08/05 11:16ID:???
>>208
なんか穴があるんだろうね
いい機会だから徹底的にしらべましょう
0210DNS未登録さん
垢版 |
03/08/05 11:20ID:???
この会社に恨みがある奴がやりまくったのかな
0211205
垢版 |
03/08/05 11:21ID:???
SSLとBINDがあやしいっすね。
最近会社忙しく自宅鯖放置気味だったからバチが当たったなー…

なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい…
0212DNS未登録さん
垢版 |
03/08/05 12:56ID:???
atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul
t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"

この2ホスト、ここ1ヶ月ほど止まらない。
毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
そろそろISPのabuseにでも連絡すっかな。
0213DNS未登録さん
垢版 |
03/08/05 15:36ID:???
>>212
> 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・

・・・。
0214DNS未登録さん
垢版 |
03/08/05 20:59ID:qWW0gjj4
ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、
クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか?
もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。
0215DNS未登録さん
垢版 |
03/08/05 21:16ID:???
>>214
根本的にだめ。
ウイルス、ワーム、セキュリティについてのポリシーを
自分で確立すべし
0216DNS未登録さん
垢版 |
03/08/06 19:31ID:???
俺の自宅サーバーにおけるセキュリティについての考え方のひとつに
「稼動時間を減らす」てのあるけど誰も賛同してくれん。
「馬鹿じゃねぇ?」「使えねぇ!」の連呼









うるせー馬鹿!
0218DNS未登録さん
垢版 |
03/08/06 21:29ID:???
稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので
結局常時稼働とさほど変わらないんでないの?

セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。
0219DNS未登録さん
垢版 |
03/08/09 14:49ID:???
うちは、CodeRedが30〜40件/日、ほとんどが韓国と中国
それから、Nimdaも30〜40連続アタック
[error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。
0220DNS未登録さん
垢版 |
03/08/09 15:00ID:???
うちも先月までは>>219とほぼ同量のアタックがあったんだが、
1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら
解除した後もなぜかアタックが以前より減少してる
0221DNS未登録さん
垢版 |
03/08/09 20:59ID:???
どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。
ヽ(`Д´)ノウワァァァン
0222DNS未登録さん
垢版 |
03/08/11 04:02ID:???
Nimdaの時に比べたらかなり平和だよな。
あのときはピーク時で1分間に2〜3回アクセスが続いたし。
帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。
0223山崎 渉
垢版 |
03/08/15 22:39ID:???
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン
0225DNS未登録さん
垢版 |
03/09/04 02:11ID:LR09Pn2s
保守age
0226DNS未登録さん
垢版 |
03/09/05 21:06ID:???
パケット通信危うし・・・

納入先監視装置、今月は1万円を越えました×n台
この先どうなることやら・・・
0227DNS未登録さん
垢版 |
03/09/10 01:25ID:???
yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-"

デザインが変...
0228DNS未登録さん
垢版 |
03/09/21 00:51ID:WMVqyFB1
もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。
当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。
全部 bbtec.net 遮断に決定。俺は困らねぇし。
0229DNS未登録さん
垢版 |
03/09/21 01:06ID:yExHdUrY
UDP LOOPアタックくらいまくりなんですがどうしたらいいですか?
特定の相手難ですが。
0230DNS未登録さん
垢版 |
03/09/21 23:20ID:hhJEgwIw
2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"

パッチ当ててない鯖って周りにも迷惑かけて最悪だな
0231DNS未登録さん
垢版 |
03/09/22 00:48ID:zRSNpj4D
ahooBBキター

2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
0232困ってるよん
垢版 |
03/09/22 22:08ID:16HVoww6
IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか?
これずっとやられて、アクセス数がどんどん増えて行ってしまいます。
同時接続数が限られる環境でこの攻撃は痛いです。
だれか辞めさせる手段をご教授お願いします。
2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 -
2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 -
2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 -
2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 -
2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 -
2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 -
2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 -
2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 -
2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 -
2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 -
2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 -
2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 -
2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 -
2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 -
2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 -
2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 -
2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 -
2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 -
0234sage
垢版 |
03/09/23 01:18ID:AzHK5NDc
うちのSnortSnarfの警告ページね。


2つの異なるイグネチャーが219.96.206.60として存在しています。発信源

・65個の事例はWEB-IIS ISAPI .ida attempt
・65個の事例はWEB-IIS cmd.exe access

ここ学校なんだよね〜
あまりにウザイからwhoisでわざわざ調べて
メールで教えてあげようと思ったら。
failure noticeときたもんだ!

管理ちゃんとしようよー



0235DNS未登録さん
垢版 |
03/09/23 12:08ID:???
>>234
219.96.206.60 = haruna.kibou.ed.jp
適当にpostmaster@とかwebmaster@に送ってみたらどうよ
0236DNS未登録さん
垢版 |
03/09/25 17:34ID:???
いまだにcoderedとかに感染している奴氏んでしまえばいいのに
0238DNS未登録さん
垢版 |
03/11/02 17:33ID:q0bLnL52
WINNTAutoAttackっていうんですかこれ?
221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%
u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
(以下略)

中国人かな?
0239DNS未登録さん
垢版 |
03/11/20 11:11ID:Ie2pkvRt
taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404
0240Hacktool.WKRShell
垢版 |
03/11/21 00:09ID:???
http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html

Hacktool.WKRShell
セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/

Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20031112_MS03-049
EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html
MS03-049が危険な理由 (ZDNet)
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html
0241DNS未登録さん
垢版 |
03/11/30 02:44ID:fHEXUDOq
445 のアタックすさまじすぎ
0242DNS未登録さん
垢版 |
03/11/30 13:08ID:Wqab79f6
最近こんなのばっか
213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
誰か対処法教えて…ログがわけわかんなくなる
0243DNS未登録さん
垢版 |
03/11/30 13:47ID:???
ウチは、ルータで Directed Broadcast 破棄しといた
0244DNS未登録さん
垢版 |
03/12/01 00:13ID:???
65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -%
アメリカより。
0246DNS未登録さん
垢版 |
03/12/03 18:21ID:zykLI/Va
>>245
うちのルータもpingを排除したら迷惑な香具師も少なくなりますた
0247DNS未登録さん
垢版 |
03/12/03 23:16ID:???
一日1500くらいアタックがくるよ。
一分に一回程度。
やんなっちゃう。
真っ当なアクセスなら1500って夢のような数字だけどさ

ルータ新しいのにかえようかなあ
pingを排除できるルータがあるんならかえたい。
けど、金ない。
よわったのお
0249DNS未登録さん
垢版 |
04/01/21 04:09ID:???
なんかこのスレ見て自分の鯖が心配になってきた。
確認する方法と防ぐ方法きぼんぬ。
0250DNS未登録さん
垢版 |
04/01/24 05:10ID:???
OSがWindowsならWindowsUpだて汁!
他のOSはシラネ
0253DNS未登録さん
垢版 |
04/01/28 16:31ID:E31XDYJQ
良スレage
0254DNS未登録さん
垢版 |
04/02/05 00:53ID:???
同じIPから毎日のように来るので
調べてみたらどうやらクライアント機らしい。
同じ時間帯に集中するのは、その時間帯に電源入れてるから。
updateやウイルスチェックぐらいしろと…
0255DNS未登録さん
垢版 |
04/02/05 01:15ID:???
       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           | 
  r |_,|_,|_,||::::::     ⌒   ⌒|
  |_,|_,|_,|/⌒     -="-  (-="    
  |_,|_,|_人そ(^i    '"" ) ・ ・)""ヽ  
  | )   ヽノ |.  ┃`ー-ニ-イ`┃    そうでっか、そうでっか、なるほどね
  |  `".`´  ノ   ┃  ⌒  ┃|  
  人  入_ノ´   ┃    ┃ノ\ 
/  \_/\\   ┗━━┛/ \\
      /   \ ト ───イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  | |
    /           |      ヽ__|_|

       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           |
  r |_,|_,|_,||::::::     /'  '\ |
  |_,|_,|_,|/⌒      (・ )  (・ )|
  |_,|_,|_人そ(^i    ⌒ ) ・・)'⌒ヽ
  | )   ヽノ |.   ┏━━━┓|
  |  `".`´  ノ   ┃ ノ ̄i ┃|
  人  入_ノ´   ┃ヽニニノ┃ノ\   ・・・・で?seireiやnekoninがサービス悪いとでもいいたいの?
/  \_/\\   ┗━━┛/|\\
      /   \ ト ───イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  |
0256DNS未登録さん
垢版 |
04/02/10 05:16ID:???
>>247
1500アタック/日?普通だよ、普通。
>>249
FW・フィルタ付きのルータを導入し、SYSLOGを見れ。
0257DNS未登録さん
垢版 |
04/02/11 11:45ID:???
最近、時々来る "GET /sumthin"が不気味だな。

200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-"
0258DNS未登録さん
垢版 |
04/02/11 22:12ID:???
>>257
それはサムスンの綴りを間違えたのです。



ってのは冗談で、
ググるとすこしはわかるかもしれませんよ。
0259DNS未登録さん
垢版 |
04/02/12 17:00ID:???
ワームじゃないんだけど
韓国からのアクセスが多い、
ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね
鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、
一時間に3回ぐらいの割合で入ってる
毎回違う串さして同一人物がやってるんだろうか…
他にログが無くてこればっかり並んでるから激しく怖い
0260DNS未登録さん
垢版 |
04/02/14 20:26ID:???
Windows98のIE5.5を詐称するならワーム
たしかWelchiaとかいう
0261DNS未登録さん
垢版 |
04/03/12 15:12ID:???
218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
0262DNS未登録さん
垢版 |
04/03/12 16:35ID:???
219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
0263DNS未登録さん
垢版 |
04/03/13 03:37ID:???
FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、
あれは単に割れ鯖をさがしてるクローラー?
0264DNS未登録さん
垢版 |
04/03/22 21:24ID:???
usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1(ry

('-`).。oO(鬱陶しいことこの上ないのだが
0265DNS未登録さん
垢版 |
04/03/31 12:01ID:???
220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry
大量にキテル…しかも1リクエストに32Kbyteもある…

鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ
0266DNS未登録さん
垢版 |
04/04/01 02:36ID:???
ログを切り分けたいのですが上手くいかね。

SetEnvIf Request_URI "^/\\x90\\x02" worm nolog
SetEnvIf Request_URI "^/\x90\x02" worm nolog


アドバイスよろ。
0268DNS未登録さん
垢版 |
04/04/02 02:51ID:???
>>267
ありがと,そっちのスレはチェックしてませんでした。

SetEnvIf じゃ分けれませんか(´・ω・`)ショボーン
0269267
垢版 |
04/04/02 04:18ID:???
>>268
なんとな〜くだけど、vhost使って分けられそうな気がしない?
大抵のウィルスはhostを名乗らないので、別けられそうな気がする

とか思いつつ、俺は放置してるわけだが
0270267
垢版 |
04/04/02 05:36ID:???
いい機会なんで試してみたが、分離は可能でした
結果だけ報告
0271DNS未登録さん
垢版 |
04/04/02 19:16ID:???
>>266
パイプ経由のロギングを利用するのはどうよ?

CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog

とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。
0272DNS未登録さん
垢版 |
04/04/02 21:53ID:???
267のリンク先の814だが。

Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、
<VirtualHost> で分離するのは当然有効。
ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。

あるいは、「異常なログを隔離する」ではなく、
CustomLog /dev/null common
CustomLog /path/to/access_log combined env=REMOTE_ADDR
のように、環境変数が正常にセットされているもののみ隔離するという方法でも
できそうだが、これはうまくいくかどうかは試していない。
0273DNS未登録さん
垢版 |
04/04/03 03:17ID:???
>>272
<VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、
これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。
わざわざ串を刺すのはちょっと…。
0274267
垢版 |
04/04/03 04:13ID:???
>>273
うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし
hosts に書くかDNS鯖に細工をすれば対処できませんか?

それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ
0275DNS未登録さん
垢版 |
04/04/03 11:38ID:???
272だが。
IP 直打ちでも Host: にその IP アドレスが入るので、
プライベートアドレスを ServerAlias に指定すればよし。

NameVirtualHost *
<VirtualHost *>
ServerName dummy.host
CustomLog [隔離ログ]
...
</VirtualHost>
<VirtualHost *>
ServerName xxx.yyy.zzz
ServerAlias localhost 127.0.0.1 192.168.0.1 ...
CustomLog [ほんとのログ]
...
</VirtualHost>

このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は
dummy.host の設定が使われる。
0276273
垢版 |
04/04/03 15:51ID:???
>>274-275

大変参考になりました。

で、>>261他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので
アクセスログの書式も

 \"%r\" → \"%m %!414U %H\"

として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、
ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。
0278DNS未登録さん
垢版 |
04/04/05 22:05ID:???
ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか?
0279DNS未登録さん
垢版 |
04/04/06 10:08ID:???
SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90 で来るヤツって
www のホスト名で来てませんか?
0281278
垢版 |
04/04/06 14:51ID:???
>>276
レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった
特殊デバイスはApacheではアクセスできないようになっているみたいですね。
実験的にDocumentRootに設定してみましたが、エラーログには

[Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero

と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。
まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。
0286DNS未登録さん
垢版 |
04/04/21 16:44ID:???
>>285
個人で鯖立ててる分には>>260以降の対策で十分なので要らないな。
まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。
0287DNS未登録さん
垢版 |
04/04/21 16:53ID:???
>>286
ここは自宅鯖板

で、名前にsageを入れる意味は何なんだろう
0288DNS未登録さん
垢版 |
04/04/30 21:40ID:???
自宅で鯖っつか社長の趣味で意味無く鯖立てたとか

最近のウィルスによるアクセスはその人達が原因かな
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況