この鯖ワームにやられてます

**DNS未登録さん** · 03/02/08 17:15

自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!

管理者がこの板みて、対処を期待する。

**DNS未登録さん** · 03/05/11 20:36

>>159
踏み台にして失敗したものです。
気になるようだったら、
SetEnvIf HOST FQDN allowed01
deny from env=!allowed01
にしとけば、403返すかと。

演@ usen-43x233x52x230.ap-USEN.usen.ad.jp · 03/05/12 02:43

>>150
＞貴方感染
チョン環境っていうより大陸向けのような気もします。
半島って標準で和文や簡体、繁体フォント入ってるのかなあ。

マジレスすると普通に
Your environment is infected with the virus
and it is troubled. Please carry out somehow.
とかのほうが（文字コードだなんだ考えずに済んで）いいと思います。

**148-159** · 03/05/12 13:50

>>160
あ、そうだったんですか。
うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。
教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。

「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り
HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ
ラーが返る。」とありましたので、httpd.confに設定してみました。

しばらくこれで様子を見てみます。ありがとうございました。
今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。
ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ
ックするぐらいしか出来ませんが、地道にやっていきます。

**DNS未登録さん** · 03/05/13 01:52

64.110.110.240
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
（略）
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ858ﾖbd3ﾖ801ﾖ090ﾖ090ﾖ190ﾖ0c3ﾖ003ﾖb00ﾖ31bﾖ3ffﾖ078ﾖ000ﾖ0=a

ウガンダｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━━!!!!!

**DNS未登録さん** · 03/05/15 09:44

202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-"

最近多いのですが、このリクエストは何でしょうか？新手のワーム？

**DNS未登録さん** · 03/05/15 21:13

219.218.95.81 - - [15/May/2003:17:46:54 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"

_ · 03/05/15 21:49

◆CfyWV6PsHI · 03/05/16 00:12

ワーム対策にバーチャルホストはどうよ
HTTP_HOSTがない場合はダミーページの飛ばす

◆CfyWV6PsHI · 03/05/16 00:14

ログをバーチャルホスト毎に記録すれば
ワームのログは通常のログに混じらないが

**山崎渉** · 03/05/22 01:54

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

**DNS未登録さん** · 03/05/23 20:57

203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373

**山崎渉** · 03/05/28 17:09

　　　　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾）＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

**DNS未登録さん** · 03/05/29 00:01

初心者からの素朴な疑問

例えば、
c:/www/scripts/..ﾁ/winnt/system32/cmd.exe
にワームがアクセスしてくるとしますよね。

該当するディレクトリを作って、cmd.exeって名前のファイル（例えばフロッピーにアクセスし続けるファイルとか）置いといたらどうなるんでしょ？

**DNS未登録さん** · 03/05/31 23:54

きのうの夕方に同一IPから5秒おきに20連発

"GET /NULL.IDA?CCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000
%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000
%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\
xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\
x90\x90\x90\x8b\xf7f\xb8H\x063 ...
<以下略、とても長い>

**DNS未登録さん** · 03/06/01 07:30

>>173
それうちにも来た。
そのあとなんか意味不明な文字があってしかもログが改行されちゃう。
何なのそれ？

**DNS未登録さん** · 03/06/01 13:04

>>174
http://pc2.2ch.net/test/read.cgi/mysv/1044200633/170

**DNS未登録さん** · 03/06/10 00:05

久々にIRC繋いだら、こんなん帰ってきたのだが…
irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272

ワームチェックかなんかでしょうか？

03/06/14 03:18

http://yahoobb219055208068.bbtec.net/

バッチリ幹線してるようです。
[2ch@localhost 2ch]wget --spider http://yahoobb219055208068.bbtec.net/
1 HTTP/1.1 200 OK
2 Server: Microsoft-IIS/5.0
3 Date: Fri, 13 Jun 2003 18:18:56 GMT
4 Connection: keep-alive
5 Connection: Keep-Alive
6 Content-Length: 1230
7 Content-Type: text/html
8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/
9 Cache-control: private
200 OK

どうやって警告したらいいでしょうか。

03/06/14 03:21

ftpとか開いてるし、アノニログインできるし(;´Д`)
厨房運営の鯖でしょうか。

Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp open ftp
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
6699/tcp open napster

03/06/14 03:25

いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな？

htp://yahoobb219055208068.bbtec.net/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

アプリケーション例外が発生しました:
アプリケーション: (pid=1020)
発生時間: 2003/05/01 @ 21:50:51.907
例外番号: c0000005 (アクセス違反)

*----> システム情報 <----*
コンピュータ名: VFGYARXITW27V4Y
ユーザー名: Administrator
プロセッサの数: 1
プロセッサの種類: x86 Family 6 Model 8 Stepping 6
Windows 2000 Version: 5.0
現在のビルド: 2195
Service Pack: None
現在のタイプ: Uniprocessor Free
登録されている会社名: 日本フレートライナー（株）
登録されている所有者: 山﨑勝行

**DNS未登録さん** · 03/06/14 05:53

>>179
通報しますた。

**DNS未登録さん** · 03/06/14 07:32

ｷﾀ━━━━━(ﾟ∀ﾟ)━━━━━!!!!
http://homepage3.nifty.com/coco-nut/

**DNS未登録さん** · 03/06/14 10:32

これはもう警鐘モンだぞ。
パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。

212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX（rya

http://212.165.132.144/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

Application exception occurred:
App: (pid=1568)
When: 6/2/2003 @ 02:07:38.527
Exception number: c0000005 (access violation)

*----> System Information <----*
Computer Name: CISCO-ACS
User Name: Administrator
Number of Processors: 1
Processor Type: x86 Family 6 Model 8 Stepping 10
Windows 2000 Version: 5.0
Current Build: 2195
Service Pack: None
Current Type: Uniprocessor Free
Registered Organization: prestel
Registered Owner: okada

okadaって日本人か？

**DNS未登録さん** · 03/06/14 12:11

(´-`).｡ｏＯ(不正にアクセスして個人情報開示してるバカだよなぁ・・・)

**DNS未登録さん** · 03/06/14 12:25

日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような

**DNS未登録さん** · 03/06/14 12:29

ややグレーゾーンに近いがな。
インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。

**DNS未登録さん** · 03/06/14 22:35

わたしのホームページへアクセスした人は、不正アクセスでﾀｲｰﾎしてもらいます(w

**DNS未登録さん** · 03/06/16 06:20

Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
は Code Green の物らしい。
ウイルスだった事には変わりは無いわけだが。

**187** · 03/06/16 06:22

あ、その下の物の方が重要っぽい。失礼

**DNS未登録さん** · 03/06/17 18:35

かぎの開いている家に侵入して情報ファイルを持ち出したら
そいつは窃盗罪だろう。

不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を
公開したりしてなにか損害が起きればけっこう痛いことになるかもね

**DNS未登録さん** · 03/06/25 00:41

保守age

**DNS未登録さん** · 03/06/25 18:58

超過激ライブチャット登場！！！！！

あなたの命令で若い娘たちがヌレヌレモードへ

☆★アメリカ西海岸発☆★モザイクなし☆★

あなたの言葉で・・・ヌードにさせてください
あなたの指で・・・感じさせてください
あなたの声で・・・イ・カ・セ・テ・ください
寂しがりやの留学生の若い娘がお待ちしております！

ただいま、１０分間無料で体験できるほか７日間会費無料!!

http://www.gals-cafe.com

**DNS未登録さん** · 03/06/27 23:41

＞＞190
喪前がageるから・・・

**DNS未登録さん** · 03/07/03 03:00

6月分のcodered。
01/Jun/2003 30
02/Jun/2003 37
03/Jun/2003 24
04/Jun/2003 31
05/Jun/2003 30
06/Jun/2003 24
07/Jun/2003 24
08/Jun/2003 27
09/Jun/2003 31
10/Jun/2003 38
11/Jun/2003 30
12/Jun/2003 37
13/Jun/2003 40
14/Jun/2003 20
15/Jun/2003 25
16/Jun/2003 33
17/Jun/2003 27
18/Jun/2003 22
19/Jun/2003 21
20/Jun/2003 28
21/Jun/2003 24
22/Jun/2003 22
23/Jun/2003 27
24/Jun/2003 34
25/Jun/2003 26
26/Jun/2003 32
27/Jun/2003 33
28/Jun/2003 32
29/Jun/2003 24
30/Jun/2003 16

**DNS未登録さん** · 03/07/05 03:27

これワーム関係？初めて見たんだけど
それともアタック？
2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-"
2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-"
2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-"
2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-"
2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
全67行

**DNS未登録さん** · 03/07/05 04:45

アクセスしようとしてるファイル名から推測すると
IIS狙いのワームでないかい？

うちにはまだお見えになられてないです

**DNS未登録さん** · 03/07/05 14:20

>>194
> 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"

cgiwrapの設定不備狙ってる？
IIS狙いとは言い切れない予感。

例の改ざん祭りの下準備かも((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

**DNS未登録さん** · 03/07/05 17:11

＞196

祭りドコー？

**DNS未登録さん** · 03/07/06 03:35

http://news2.2ch.net/test/read.cgi/newsplus/1057237070/

**山崎渉** · 03/07/15 11:10

　__∧＿∧_
　|（　　＾＾）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

**DNS未登録さん** · 03/07/26 11:29

孫さん家の人が衛生管理していないので、「出禁」にしています。
衛生管理出来る様になったら、タイム系サーバーを追加して
監視兵を置くかな・・・

**DNS未登録さん** · 03/07/29 04:10

そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。

**DNS未登録さん** · 03/07/29 14:30

最近、損さん家のｆ＠ｔ息子が猛烈アタックしてきます。
UDPの3010・3012・3013と投げてくるけど、これ何でしょ？

**DNS未登録さん** · 03/07/29 17:23

ロボットといえばnabotは迷惑だ

**ぼるじょあ** ◆ySd1dMH5Gk · 03/08/02 05:04

　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

**DNS未登録さん** · 03/08/05 10:38

これって何かのウイルス？
今朝会社にきたら、↓と同じぺージに書き換えられてた。
http://217.127.31.195/index.htm

やられて放置してる鯖もｲﾊﾟｰｲなんですが･･･。↓
http://www.google.co.jp/search?q=Copyright+by+Seyeon+TECH+Co.%2C+Ltd.&ie=UTF-8&oe=UTF-8&hl=ja&lr=
なんやのこれ～～～！

**DNS未登録さん** · 03/08/05 10:39

あげ

**DNS未登録さん** · 03/08/05 11:08

>>205
なんで書き換えられちゃうわけ？あなたの会社のサイト
ろくにパッチも当ててないDQN鯖官なのけ

**205** · 03/08/05 11:11

>>207
ごめん、動揺して説明たらずだった。

会社きて、自宅のＨＰ見てみようとしたら、書き換えられてた。
自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。

はぁ…

**DNS未登録さん** · 03/08/05 11:16

>>208
なんか穴があるんだろうね
いい機会だから徹底的にしらべましょう

**DNS未登録さん** · 03/08/05 11:20

この会社に恨みがある奴がやりまくったのかな

**205** · 03/08/05 11:21

SSLとBINDがあやしいっすね。
最近会社忙しく自宅鯖放置気味だったからバチが当たったなー…

なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい…

**DNS未登録さん** · 03/08/05 12:56

atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul
t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"

この２ホスト、ここ１ヶ月ほど止まらない。
毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
そろそろISPのabuseにでも連絡すっかな。

**DNS未登録さん** · 03/08/05 15:36

>>212
> 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・

・・・。

**DNS未登録さん** · 03/08/05 20:59

ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、
クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか？
もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。

**DNS未登録さん** · 03/08/05 21:16

>>214
根本的にだめ。
ウイルス、ワーム、セキュリティについてのポリシーを
自分で確立すべし

**DNS未登録さん** · 03/08/06 19:31

俺の自宅サーバーにおけるセキュリティについての考え方のひとつに
「稼動時間を減らす」てのあるけど誰も賛同してくれん。
「馬鹿じゃねぇ？」「使えねぇ！」の連呼

うるせー馬鹿！

**DNS未登録さん** · 03/08/06 20:44

>>216
いや、科学技術庁も導入したぐらいだし(藁

**DNS未登録さん** · 03/08/06 21:29

稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので
結局常時稼働とさほど変わらないんでないの？

セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。

**DNS未登録さん** · 03/08/09 14:49

うちは、CodeRedが30～40件/日、ほとんどが韓国と中国
それから、Nimdaも30～40連続アタック
[error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。

**DNS未登録さん** · 03/08/09 15:00

うちも先月までは>>219とほぼ同量のアタックがあったんだが、
1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら
解除した後もなぜかアタックが以前より減少してる

**DNS未登録さん** · 03/08/09 20:59

どれくらい来てるのかな？とｵﾓﾃ2002年10月以降のログを一括検索したら4609件出てきた。
ヽ(`Д´)ﾉｳﾜｧｧｧﾝ

**DNS未登録さん** · 03/08/11 04:02

Nimdaの時に比べたらかなり平和だよな。
あのときはピーク時で1分間に2～3回アクセスが続いたし。
帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。

**山崎渉** · 03/08/15 22:39

　　　 (⌒V⌒)
　　　│ ＾＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

**DNS未登録さん** · 03/08/16 09:01

今度は135の悪夢

**DNS未登録さん** · 03/09/04 02:11

保守age

**DNS未登録さん** · 03/09/05 21:06

パケット通信危うし・・・

納入先監視装置、今月は1万円を越えました×ｎ台
この先どうなることやら・・・

**DNS未登録さん** · 03/09/10 01:25

yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-"

デザインが変...

**DNS未登録さん** · 03/09/21 00:51

もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。
当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。
全部 bbtec.net 遮断に決定。俺は困らねぇし。

**DNS未登録さん** · 03/09/21 01:06

UDP LOOPアタックくらいまくりなんですがどうしたらいいですか？
特定の相手難ですが。

**DNS未登録さん** · 03/09/21 23:20

2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"

パッチ当ててない鯖って周りにも迷惑かけて最悪だな

**DNS未登録さん** · 03/09/22 00:48

ahooBBキター

2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

**困ってるよん** · 03/09/22 22:08

IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか？
これずっとやられて、アクセス数がどんどん増えて行ってしまいます。
同時接続数が限られる環境でこの攻撃は痛いです。
だれか辞めさせる手段をご教授お願いします。
2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 -
2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 -
2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 -
2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 -
2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 -
2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 -
2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 -
2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 -
2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 -
2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 -
2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 -
2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 -
2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 -
2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 -
2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 -
2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 -
2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 -
2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 -

**DNS未登録さん** · 03/09/22 22:16

ホウムペイジ作り中だよっ
http://azarashi.ddo.jp/

**sage** · 03/09/23 01:18

うちのSnortSnarfの警告ページね。

2つの異なるイグネチャーが219.96.206.60として存在しています。発信源

・65個の事例はWEB-IIS ISAPI .ida attempt
・65個の事例はWEB-IIS cmd.exe access

ここ学校なんだよね～
あまりにウザイからwhoisでわざわざ調べて
メールで教えてあげようと思ったら。
failure noticeときたもんだ！

管理ちゃんとしようよー

**DNS未登録さん** · 03/09/23 12:08

>>234
219.96.206.60 = haruna.kibou.ed.jp
適当にpostmaster@とかwebmaster@に送ってみたらどうよ

**DNS未登録さん** · 03/09/25 17:34

いまだにcoderedとかに感染している奴氏んでしまえばいいのに

**DNS未登録さん** · 03/09/25 17:59

codegreenを(ry

**DNS未登録さん** · 03/11/02 17:33

WINNTAutoAttackっていうんですかこれ？
221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%
u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
（以下略）

中国人かな？

**DNS未登録さん** · 03/11/20 11:11

taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404

**Hacktool.WKRShell** · 03/11/21 00:09

http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html

Hacktool.WKRShell
セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/

Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20031112_MS03-049
EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html
MS03-049が危険な理由 (ZDNet)
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html

**DNS未登録さん** · 03/11/30 02:44

445 のアタックすさまじすぎ

**DNS未登録さん** · 03/11/30 13:08

最近こんなのばっか
213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
誰か対処法教えて…ログがわけわかんなくなる

**DNS未登録さん** · 03/11/30 13:47

ウチは、ルータで Directed Broadcast 破棄しといた

**DNS未登録さん** · 03/12/01 00:13

65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -%
アメリカより。

**DNS未登録さん** · 03/12/02 14:27

>>242
ping に反応しなきゃ送ってこない

**DNS未登録さん** · 03/12/03 18:21

>>245
うちのルータもpingを排除したら迷惑な香具師も少なくなりますた

**DNS未登録さん** · 03/12/03 23:16

一日1500くらいアタックがくるよ。
一分に一回程度。
やんなっちゃう。
真っ当なアクセスなら1500って夢のような数字だけどさ

ルータ新しいのにかえようかなあ
pingを排除できるルータがあるんならかえたい。
けど、金ない。
よわったのお

**DNS未登録さん** · 03/12/11 16:10

>>247
iptables -A INPUT -p icmp -i ppp+ -j DROP
ｽﾚ違いﾚｽ

**DNS未登録さん** · 04/01/21 04:09

なんかこのスレ見て自分の鯖が心配になってきた。
確認する方法と防ぐ方法きぼんぬ。

**DNS未登録さん** · 04/01/24 05:10

OSがWindowsならWindowsUｐだて汁！
他のOSはｼﾗﾈ

**DNS未登録さん** · 04/01/27 02:10

>>249
linuxとかにしる

**DNS未登録さん** · 04/01/27 19:07

>>249
鯖の電源切れば心配しなくてもよくなるYO

**DNS未登録さん** · 04/01/28 16:31

良スレage

**DNS未登録さん** · 04/02/05 00:53

同じIPから毎日のように来るので
調べてみたらどうやらクライアント機らしい。
同じ時間帯に集中するのは､その時間帯に電源入れてるから。
updateやウイルスチェックぐらいしろと…

**DNS未登録さん** · 04/02/05 01:15

　　　　　　　巛彡彡ミミミミミ彡彡
　　　　　　巛巛巛巛巛巛巛彡彡
　　　r､r.r ､|:::::　　　　　　　　　　|　
　　r |_,|_,|_,||::::::　　　　 ⌒　　　⌒|
　　|_,|_,|_,|/⌒　　　　 -="- 　(-="　　　　
　　|_,|_,|_人そ(^i　　　 '"" ) ･･)""ヽ　　
　　|　)　　ヽﾉ　|.　　┃｀ー-ﾆ-ｲ｀┃　　　　そうでっか、そうでっか、なるほどね
　　|　　`".｀´ 　ﾉ　　 ┃　　⌒ 　┃|　　
　人　　入＿ノ´　　　┃　　　　┃ﾉ＼　
／　　＼＿／＼＼　　 ┗━━┛/ ＼＼
　　　　　／　　＼　ト ───ｲ/　　ヽヽ
　　　　 /　　　　　｀　─┬─ イ　　　　 i i
　　　　/　　　　　　　　　 | 　　　　　Y　　| |
　　　 / 　　　　　　　　　 | 　　　　　ヽ＿_|_|

　　　　　　　巛彡彡ミミミミミ彡彡
　　　　　　巛巛巛巛巛巛巛彡彡
　　　r､r.r ､|:::::　　　　　　　　　　|
　　r |_,|_,|_,||::::::　　　　／'　　'＼ |
　　|_,|_,|_,|/⌒　　　　 (・ )　　(・ )|
　　|_,|_,|_人そ(^i　　　　⌒ ) ･･)'⌒ヽ
　　|　)　　ヽﾉ　|.　　　┏━━━┓|
　　|　　`".｀´ 　ﾉ　　 ┃　ノ￣i　┃|
　人　　入＿ノ´　　　┃ヽﾆﾆノ┃ﾉ＼　　　・・・・で？seireiやnekoninがサービス悪いとでもいいたいの？
／　　＼＿／＼＼　　 ┗━━┛/|＼＼
　　　　　／　　＼　ト ───ｲ/　　ヽヽ
　　　　 /　　　　　｀　─┬─ イ　　　　 i i
　　　　/　　　　　　　　　 | 　　　　　Y　　|

**DNS未登録さん** · 04/02/10 05:16

>>247
1500アタック／日？普通だよ、普通。
>>249
FW・フィルタ付きのルータを導入し、SYSLOGを見れ。

**DNS未登録さん** · 04/02/11 11:45

最近、時々来る "GET /sumthin"が不気味だな。

200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-"

**DNS未登録さん** · 04/02/11 22:12

>>257
それはサムスンの綴りを間違えたのです。

ってのは冗談で、
ググるとすこしはわかるかもしれませんよ。

**DNS未登録さん** · 04/02/12 17:00

ワームじゃないんだけど
韓国からのアクセスが多い、
ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね
鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、
一時間に3回ぐらいの割合で入ってる
毎回違う串さして同一人物がやってるんだろうか…
他にログが無くてこればっかり並んでるから激しく怖い