この鯖ワームにやられてます
自宅で鯖も善いけど、管理はちゃんとしようよ。 ログを汚すだけではなく、ネットワーク資源のムダ使いの CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!! 管理者がこの板みて、対処を期待する。 これはもう警鐘モンだぞ。 パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。 212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX(rya http://212.165.132.144/scripts/root.exe?/c+type+ "..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log" Application exception occurred: App: (pid=1568) When: 6/2/2003 @ 02:07:38.527 Exception number: c0000005 (access violation) *----> System Information <----* Computer Name: CISCO-ACS User Name: Administrator Number of Processors: 1 Processor Type: x86 Family 6 Model 8 Stepping 10 Windows 2000 Version: 5.0 Current Build: 2195 Service Pack: None Current Type: Uniprocessor Free Registered Organization: prestel Registered Owner: okada okadaって日本人か? (´-`).。oO(不正にアクセスして個人情報開示してるバカだよなぁ・・・) 日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような ややグレーゾーンに近いがな。 インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。 わたしのホームページへアクセスした人は、不正アクセスでタイーホしてもらいます(w Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、 %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a は Code Green の物らしい。 ウイルスだった事には変わりは無いわけだが。 かぎの開いている家に侵入して情報ファイルを持ち出したら そいつは窃盗罪だろう。 不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を 公開したりしてなにか損害が起きればけっこう痛いことになるかもね 超過激ライブチャット登場!!!!! あなたの命令で若い娘たちがヌレヌレモードへ ☆★アメリカ西海岸発☆★モザイクなし☆★ あなたの言葉で・・・ヌードにさせてください あなたの指で・・・感じさせてください あなたの声で・・・イ・カ・セ・テ・ください 寂しがりやの留学生の若い娘がお待ちしております! ただいま、10分間無料で体験できるほか7日間会費無料!! http://www.gals-cafe.com 6月分のcodered。 01/Jun/2003 30 02/Jun/2003 37 03/Jun/2003 24 04/Jun/2003 31 05/Jun/2003 30 06/Jun/2003 24 07/Jun/2003 24 08/Jun/2003 27 09/Jun/2003 31 10/Jun/2003 38 11/Jun/2003 30 12/Jun/2003 37 13/Jun/2003 40 14/Jun/2003 20 15/Jun/2003 25 16/Jun/2003 33 17/Jun/2003 27 18/Jun/2003 22 19/Jun/2003 21 20/Jun/2003 28 21/Jun/2003 24 22/Jun/2003 22 23/Jun/2003 27 24/Jun/2003 34 25/Jun/2003 26 26/Jun/2003 32 27/Jun/2003 33 28/Jun/2003 32 29/Jun/2003 24 30/Jun/2003 16 これワーム関係?初めて見たんだけど それともアタック? 2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-" 2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-" 2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-" 2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-" 2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-" 2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-" 2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-" 2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-" 2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-" 2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-" 2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-" 2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-" 2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-" 2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-" 2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-" 2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-" 2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-" 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-" 全67行 アクセスしようとしてるファイル名から推測すると IIS狙いのワームでないかい? うちにはまだお見えになられてないです >>194 > 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-" cgiwrapの設定不備狙ってる? IIS狙いとは言い切れない予感。 例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル __∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄ 孫さん家の人が衛生管理していないので、「出禁」にしています。 衛生管理出来る様になったら、タイム系サーバーを追加して 監視兵を置くかな・・・ そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。 最近、損さん家のf@t息子が猛烈アタックしてきます。 UDPの3010・3012・3013と投げてくるけど、これ何でしょ? ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ >>205 なんで書き換えられちゃうわけ?あなたの会社のサイト ろくにパッチも当ててないDQN鯖官なのけ >>207 ごめん、動揺して説明たらずだった。 会社きて、自宅のHP見てみようとしたら、書き換えられてた。 自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。 はぁ… >>208 なんか穴があるんだろうね いい機会だから徹底的にしらべましょう SSLとBINDがあやしいっすね。 最近会社忙しく自宅鯖放置気味だったからバチが当たったなー… なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい… atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68 58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190 %u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-" yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida ?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c 3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-" この2ホスト、ここ1ヶ月ほど止まらない。 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・ そろそろISPのabuseにでも連絡すっかな。 >>212 > 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・ ・・・。 ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、 クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか? もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。 >>214 根本的にだめ。 ウイルス、ワーム、セキュリティについてのポリシーを 自分で確立すべし 俺の自宅サーバーにおけるセキュリティについての考え方のひとつに 「稼動時間を減らす」てのあるけど誰も賛同してくれん。 「馬鹿じゃねぇ?」「使えねぇ!」の連呼 うるせー馬鹿! >>216 いや、科学技術庁も導入したぐらいだし(藁 稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので 結局常時稼働とさほど変わらないんでないの? セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。 うちは、CodeRedが30〜40件/日、ほとんどが韓国と中国 それから、Nimdaも30〜40連続アタック [error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。 うちも先月までは>>219 とほぼ同量のアタックがあったんだが、 1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら 解除した後もなぜかアタックが以前より減少してる どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。 ヽ(`Д´)ノウワァァァン Nimdaの時に比べたらかなり平和だよな。 あのときはピーク時で1分間に2〜3回アクセスが続いたし。 帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。 (⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン パケット通信危うし・・・ 納入先監視装置、今月は1万円を越えました×n台 この先どうなることやら・・・ yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-" デザインが変... もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。 当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。 全部 bbtec.net 遮断に決定。俺は困らねぇし。 UDP LOOPアタックくらいまくりなんですがどうしたらいいですか? 特定の相手難ですが。 2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" パッチ当ててない鯖って周りにも迷惑かけて最悪だな ahooBBキター 2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0" IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか? これずっとやられて、アクセス数がどんどん増えて行ってしまいます。 同時接続数が限られる環境でこの攻撃は痛いです。 だれか辞めさせる手段をご教授お願いします。 2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 - 2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 - 2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 - 2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 - 2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 - 2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 - 2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 - 2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 - 2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 - 2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 - 2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 - 2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 - 2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 - 2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 - 2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 - 2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 - 2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 - 2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) 2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 - うちのSnortSnarfの警告ページね。 2つの異なるイグネチャーが219.96.206.60として存在しています。発信源 ・65個の事例はWEB-IIS ISAPI .ida attempt ・65個の事例はWEB-IIS cmd.exe access ここ学校なんだよね〜 あまりにウザイからwhoisでわざわざ調べて メールで教えてあげようと思ったら。 failure noticeときたもんだ! 管理ちゃんとしようよー >>234 219.96.206.60 = haruna.kibou.ed.jp 適当にpostmaster@とかwebmaster@に送ってみたらどうよ いまだにcoderedとかに感染している奴氏んでしまえばいいのに WINNTAutoAttackっていうんですかこれ? 221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8% u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90 \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90 (以下略) 中国人かな? taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404 http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html Hacktool.WKRShell セキュリティホール memo http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/ Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049) http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/#20031112_MS03-049 EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12) http://www.st.ryukoku.ac.jp/ ~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html MS03-049が危険な理由 (ZDNet) http://www.zdnet.co.jp/enterprise/0311/14/epn02.html 最近こんなのばっか 213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 誰か対処法教えて…ログがわけわかんなくなる ウチは、ルータで Directed Broadcast 破棄しといた 65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -% アメリカより。 >>245 うちのルータもpingを排除したら迷惑な香具師も少なくなりますた 一日1500くらいアタックがくるよ。 一分に一回程度。 やんなっちゃう。 真っ当なアクセスなら1500って夢のような数字だけどさ ルータ新しいのにかえようかなあ pingを排除できるルータがあるんならかえたい。 けど、金ない。 よわったのお >>247 iptables -A INPUT -p icmp -i ppp+ -j DROP スレ違いレス なんかこのスレ見て自分の鯖が心配になってきた。 確認する方法と防ぐ方法きぼんぬ。 OSがWindowsならWindowsUpだて汁! 他のOSはシラネ >>249 鯖の電源切れば心配しなくてもよくなるYO 同じIPから毎日のように来るので 調べてみたらどうやらクライアント機らしい。 同じ時間帯に集中するのは、その時間帯に電源入れてるから。 updateやウイルスチェックぐらいしろと… 巛彡彡ミミミミミ彡彡 巛巛巛巛巛巛巛彡彡 r、r.r 、|::::: | r |_,|_,|_,||:::::: ⌒ ⌒| |_,|_,|_,|/⌒ -="- (-=" |_,|_,|_人そ(^i '"" ) ・ ・)""ヽ | ) ヽノ |. ┃`ー-ニ-イ`┃ そうでっか、そうでっか、なるほどね | `".`´ ノ ┃ ⌒ ┃| 人 入_ノ´ ┃ ┃ノ\ / \_/\\ ┗━━┛/ \\ / \ ト ───イ/ ヽヽ / ` ─┬─ イ i i / | Y | | / | ヽ__|_| 巛彡彡ミミミミミ彡彡 巛巛巛巛巛巛巛彡彡 r、r.r 、|::::: | r |_,|_,|_,||:::::: /' '\ | |_,|_,|_,|/⌒ (・ ) (・ )| |_,|_,|_人そ(^i ⌒ ) ・・)'⌒ヽ | ) ヽノ |. ┏━━━┓| | `".`´ ノ ┃ ノ ̄i ┃| 人 入_ノ´ ┃ヽニニノ┃ノ\ ・・・・で?seireiやnekoninがサービス悪いとでもいいたいの? / \_/\\ ┗━━┛/|\\ / \ ト ───イ/ ヽヽ / ` ─┬─ イ i i / | Y | >>247 1500アタック/日?普通だよ、普通。 >>249 FW・フィルタ付きのルータを導入し、SYSLOGを見れ。 最近、時々来る "GET /sumthin"が不気味だな。 200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-" >>257 それはサムスンの綴りを間違えたのです。 ってのは冗談で、 ググるとすこしはわかるかもしれませんよ。 ワームじゃないんだけど 韓国からのアクセスが多い、 ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね 鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、 一時間に3回ぐらいの割合で入ってる 毎回違う串さして同一人物がやってるんだろうか… 他にログが無くてこればっかり並んでるから激しく怖い Windows98のIE5.5を詐称するならワーム たしかWelchiaとかいう 218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-" 219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" 219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" 219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-" FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、 あれは単に割れ鯖をさがしてるクローラー? usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0 2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1(ry ('-`).。oO(鬱陶しいことこの上ないのだが 220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry 大量にキテル…しかも1リクエストに32Kbyteもある… 鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ ログを切り分けたいのですが上手くいかね。 SetEnvIf Request_URI "^/\\x90\\x02" worm nolog SetEnvIf Request_URI "^/\x90\x02" worm nolog アドバイスよろ。 >>267 ありがと,そっちのスレはチェックしてませんでした。 SetEnvIf じゃ分けれませんか(´・ω・`)ショボーン >>268 なんとな〜くだけど、vhost使って分けられそうな気がしない? 大抵のウィルスはhostを名乗らないので、別けられそうな気がする とか思いつつ、俺は放置してるわけだが いい機会なんで試してみたが、分離は可能でした 結果だけ報告 >>266 パイプ経由のロギングを利用するのはどうよ? CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。 267のリンク先の814だが。 Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、 <VirtualHost> で分離するのは当然有効。 ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。 あるいは、「異常なログを隔離する」ではなく、 CustomLog /dev/null common CustomLog /path/to/access_log combined env=REMOTE_ADDR のように、環境変数が正常にセットされているもののみ隔離するという方法でも できそうだが、これはうまくいくかどうかは試していない。 >>272 <VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、 これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。 わざわざ串を刺すのはちょっと…。 >>273 うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし hosts に書くかDNS鯖に細工をすれば対処できませんか? それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ 272だが。 IP 直打ちでも Host: にその IP アドレスが入るので、 プライベートアドレスを ServerAlias に指定すればよし。 NameVirtualHost * <VirtualHost *> ServerName dummy.host CustomLog [隔離ログ] ... </VirtualHost> <VirtualHost *> ServerName xxx.yyy.zzz ServerAlias localhost 127.0.0.1 192.168.0.1 ... CustomLog [ほんとのログ] ... </VirtualHost> このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は dummy.host の設定が使われる。 >>274-275 大変参考になりました。 で、>>261 他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので アクセスログの書式も \"%r\" → \"%m %!414U %H\" として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、 ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。 ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか? SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90 で来るヤツって www のホスト名で来てませんか? read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる