【セキュリティホール】情報交換【バグフィックス】
age
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20030417_MS03-013
>>153
ISPサポートで法人担当してますが、
殆どsendmailですね。Postfixは皆無、
稀にqmailがあるかな、という感じです。
Postfixの方が穴が少ない印象がありますが、
単にシェアが相対的に低いから、攻撃対象として
敬遠されているだけなんでしょうか? >>161
両方やん?
窓が攻撃されやすいのと一緒 すみません、linuxでサーバを立てようとしているのですが
アプリケーション個別のログ(apacheやftp)では無く
tcp/ip全体に対するログって取れるのですか?
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━― ∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎――◎ 山崎渉 >>170
それアタックツールっぽいけど、
元のIPにアクセスしたら中国のIISのサーバーだったんだよね。
IISが感染するとかあるのかな?
それに俺のとこにもきたけど俺のとこアタックされるほどアクセス多くないし >>172
下の方の翻訳に
>自動的に増えたのうえに長距離の図形を伝えたのは裏門の機能を支配する
ってあるからワームにもなるっぽい Samba 2.2.8a日本語版リリース1.0 がリリースされました。(2003/05/27)
って、かなり前だった http://internet.watch.impress.co.jp/www/article/2003/0710/ms.htm
バッファオーバーランに対する脆弱性っていうものは、窓OS以外では発生しないのでしょうか?
もし発生しても他のOS、カーネルでは脆弱性とならないのであるならば、
窓OS自体が、、、かと思いまして。 >>176
人が書いたコードである以上、穴はどこかにある。
「WindowsじゃないからBORが起こらない」というのは
ちょっとおかしい話だと思う。 実際 Windows 以外でもいっぱい見つかってるし。
>>179
だな
でも、だからといって Windowsと他のOSの危険度が同じと言う話でもなくて…
頻度、対応等々を含めて総合的に判断しなきゃいけないよなぁ
そういう所がMS はちょっとアレとか言われる所以で
ttp://japan.cnet.com/news/ent/story/0,2000047623,20059757,00.htm
こんな話もあるしなぁ
たぶん、Cでソース書くからじゃないかな。
バッファオーバーフローをランタイムライブラリで阻止するのが
デフォルトな処理系を使って書いてれば(DelphiとかC#とか)
危険なバグの出る確率はぐっと減ると思う 最近ポート445にアタックするサイトがすごく多いけど
何か、穴でもあるの? >183
毛穴は除外するにしても、何か(穴2個所)を忘れてる余寒。 >>184
おそらくは>>183は人間ではないと思われ 合ってんじゃねーのかいの?
男は「鼻の穴が2つ」「口」「尿道口」「肛門」の計5個
女は「鼻の穴が2つ」「口」「尿道口」「膣口」「肛門」の計6個
ほかに有ったか?w おっと!あれだな、耳の穴だな。忘れてたワイ。
誰かに突っ込まれる前でよかたよ。 >>186 >>188
おまえにはもう2個あるだろ!
「ふしあな」という穴が
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄ そういや昨日だっけ?Apache1.3.28リリースは。 >>193
確かそれくらい(w
漏れは今日slashdot見て知った…個人的には先週インスコしたばっかなのに鬱。 まさか1.3.xがバージョンうpするとは思わなんだ。
つかFixだもんね。ADDじゃないもんね。 どうせ、httpd.confの書き方変わってたりするんだろ〜
書き直すの面倒くせー
apache2.xが1.xより優位な点教えてよ。
乗り換える理由にするから。 >>202
自分で調べ自分で判断しろ。
まさか仕事もそうやって進めているんじゃないだろうな?
>>202
優位な点:新しいものを使っているという間違った優越感(w ∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ >>206
本7みたいなこと云うとるし。
>>207 と >>208 の違いって判ってるんだろうか? Postfix1.1.xに脆弱性
ttp://www.zdnet.co.jp/enterprise/0308/06/epn17.html ☆★ 新商品 ゾク・ゾク 入荷!! 急げ〜!! ☆★☆
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★ 送料激安! スピード発送! 商品豊富!
★☆ http://www.get-dvd.com
☆★ 激安DVDショップ 「GETDVDドットコム」
★☆ http://www.get-dvd.com
☆★ 今すぐアクセス Let’s Go! 急げ!
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
GNUのFTPサーバが3月〜7月末まで乗っ取られ
ttp://ftp.gnu.org/MISSING-FILES.README (⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン ある意味セキュリティホールだよな…>>219の存在 apacheのログ見たら、昨日(18日)から "GET / HTTP/1.1"が異様に多く来てる。ま、異様っても2〜3分に1回くらいなんだけど。
ちなみにウチのは閑古鳥の鳴く掲示板が一つ動いてるだけで、ドキュメントルートは空っぽ。
発信元IPはバラバラ。送ってくるUser-Agent情報は全て同一で、MSIE5.5 on Win98。パケットも見てみたけどサイズは普通。Hostはドメイン名でなくIPアドレスの直接指定。
サーバ情報の取得用かなとも思う。
世間で何か起こってるの?
>>222
MSBLASTERとは別物だったんか…? >>224
BLASTERと同系といえば同系だが…
BLASTERはM$以外の80番PORTにはアクセスしないはず
なんか情報が錯綜してて何がなんだかってのはちょっとある
トレンドマイクロは亜種という位置付けだな
セキュリティホールmemoよりコピペ
とくちょう:
攻撃前に ping し、反応があったホストを攻撃。 snort だと "ICMP PING CyberKit 2.2 Windows" として検出する。
10240 バイトの dllhost.exe ファイルと 19728 バイトの svchost.exe を使う。後者は tftp サーバ。
MS03-026 穴と MS03-007 穴を狙う。
MS03-026 patch (Microsoft 謹製の本物) をダウンロードしインストールする。 ただし英語・中国語・韓国語版 patch にしか対応しておらず、日本語版 patch はダウンロードされない。
MS03-007 patch はインストールしない。
4444/tcp ではなく 666〜765/tcp を使う。
Blaster ワームを削除する。
2004 年になると自己破壊する。
目標のさがし方がかしこい。MSRPC DCOM ワーム「MS Blast」の蔓延 (ISSKK) より:
>>225
セキュリティホールmemoはキラいなんで、ISSKK読んだけど、
BLASTERを駆除する「善意の」ワームってことになってるみたい。
でも、迷惑には変わらないんだよなぁ。 なるほど。MSblastを消去してpatchをダウンロードする亜種についての記事は読んでたけど、
80番にもアクセスしてくるのは知らなかった。ありがと。
>>227
>MSblastを消去してpatchをダウンロードする亜種についての記事は読んでた
なんか、折れの無知を晒しただけなような気がする(w
M$公式とかセキュリティホールmemoとかスラドとか除いて、
この辺りの情報が確実に集まってくるサイトって、他にどこがあるんでしょ?
一応、折れは@ITを見るようにはしてるけど、ここんとこ暇がなかった…。 >>228
そんだけ見てれば十分じゃろ
あと2chのセキュ板が早い
ものすごい数のサンプルと画像を集めてみました。モロ
動画系サンプル集、新たにアップ!
こきすぎ注意
http://vs2.f-t-s.com/~moemoe/index.html ここ数日こんなのが5分に1回くらい世界からくるんだが、いったいなんなんだ?
ぐぐったりウイルスメーカー見たがさっぱりわからん。誰かわかる人キボンヌ
3行目の宛先アドレスが127.0.0.1だし。
2003-08-26 07:23:35 63.138.193.58 - 192.168.2.209 80 GET /index.html - 200 484 191 210 HTTP/1.1 ***.***.***.*** Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) - -
2003-08-26 07:23:35 63.138.193.58 - 192.168.2.209 80 SEARCH / - 411 233 44 0 HTTP/1.1 ***.***.***.*** - - -
2003-08-26 07:23:45 63.138.193.58 - 192.168.2.209 80 SEARCH /AAAAAAAAAAAAA(中略)NNNNNNNNNNNNNNN - 404 0 66301 281 HTTP/1.1 127.0.0.1 - - - もまいら、うちのアクセスログに
"GET / HTTP/1.1" - "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
が大量に入ってますたが、ワームでも流行ってますかね? >>236
き、貴様、なぜそれを知っている!!(w 出たので貼り付けておく
ttp://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-039.asp
新種かな?
一発目が 2003/09/11,21:01:27 JST
get /scripts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c%20dir
Nimdaの亜種か? >>243
それって悪名高いAsia Pacific Network Information Centreからの客? だね。
This IP address range is not registered in the ARIN database
漏れルーターで>>244からのアクセス止めたいんだけど
「IPアドレス/マスク長」てな具合で設定するもんだから
訳わからん。
誰か>>244のIPアドレス範囲を「IPアドレス/マスク長」で
おすえてプリーズ。 >>247
APNIC⊃JPNIC
じゃないの?
だったらAPNICを蹴るんじゃなくて、JPNICを通す設定にする方が楽かと
資料として
JPNICが逆引きの管理を行っているIPアドレス(2003年3月12日現在)
ttp://www.nic.ad.jp/ja/dns/jp-addr-block.html
を添付しておきます:D 今回の小文字getは大したことなさそうじゃん
放っておけばいんでない? >>247
国ごとの割り当てアドレスあるけど結構な量になる
ttp://www.blackholes.us/ 皆さんありがとう。
まさかマジなレスが返ってくるとは思いませんですた。感謝。
>>248
・・・そりでは漏れもアクセスできませぬ。
>>249
さすがです。漏れIQ低いんで気付きませんですた。
で、>>250のURL見てみましたが、あれ以外は全て遮断すると
善良な海外のお客様までも巻添えに。。。
んで>>252ご提示のURL見てあまりにも無謀な考えであった事を
悟り、諦めることにしますた。
特定の国からの客や特定ISPからの客を蹴るって、けっこう
難しいんですね。今まで通りされるがままで様子をみてみまつ。 >>244
>それって悪名高いAsia Pacific Network Information Centreからの客?
APNICって悪名高かったのか……。不憫よのぉ。
ARIN(北米)、RIPE(ヨーロッパ)、APNIC(アジア太平洋)の3つはセットで覚えておけ。
# 最近になって中南米担当の LACNIC というのができたらしい。
>>249
厳密には、昔からインターネットを使ってる一部の大学とか企業やらは
APNIC 設立以前に InterNIC から直接割り当てを受けているため、
JPNIC だけど APNIC じゃなかったりするけどね。
>>254
APNIC以前に関しては考えなかった
なるほど
誰も突っ込まないから自分で
>だったらAPNICを蹴るんじゃなくて、JPNICを通す設定にする方が楽かと
日本語変
>>253
APNIC以外を通す
JPNICを通す
残りは遮断
とすれば被害は最小限?
海外からって来るのかとか、Y!BBは無視で良いや;PP
とか色々有るけど 被害があってからでは遅すぎる。
ようは傾向と対策だ。 なんかもうこなくなっちゃったみたい。
おしまい? なんだったんだろう