この鯖ワームにやられてます

**DNS未登録さん** · 03/08/05 20:59

ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、
クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか？
もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。

**DNS未登録さん** · 03/08/05 21:16

>>214
根本的にだめ。
ウイルス、ワーム、セキュリティについてのポリシーを
自分で確立すべし

**DNS未登録さん** · 03/08/06 19:31

俺の自宅サーバーにおけるセキュリティについての考え方のひとつに
「稼動時間を減らす」てのあるけど誰も賛同してくれん。
「馬鹿じゃねぇ？」「使えねぇ！」の連呼

うるせー馬鹿！

**DNS未登録さん** · 03/08/06 20:44

>>216
いや、科学技術庁も導入したぐらいだし(藁

**DNS未登録さん** · 03/08/06 21:29

稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので
結局常時稼働とさほど変わらないんでないの？

セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。

**DNS未登録さん** · 03/08/09 14:49

うちは、CodeRedが30～40件/日、ほとんどが韓国と中国
それから、Nimdaも30～40連続アタック
[error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。

**DNS未登録さん** · 03/08/09 15:00

うちも先月までは>>219とほぼ同量のアタックがあったんだが、
1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら
解除した後もなぜかアタックが以前より減少してる

**DNS未登録さん** · 03/08/09 20:59

どれくらい来てるのかな？とｵﾓﾃ2002年10月以降のログを一括検索したら4609件出てきた。
ヽ(`Д´)ﾉｳﾜｧｧｧﾝ

**DNS未登録さん** · 03/08/11 04:02

Nimdaの時に比べたらかなり平和だよな。
あのときはピーク時で1分間に2～3回アクセスが続いたし。
帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。

**山崎渉** · 03/08/15 22:39

　　　 (⌒V⌒)
　　　│ ＾＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

**DNS未登録さん** · 03/08/16 09:01

今度は135の悪夢

**DNS未登録さん** · 03/09/04 02:11

保守age

**DNS未登録さん** · 03/09/05 21:06

パケット通信危うし・・・

納入先監視装置、今月は1万円を越えました×ｎ台
この先どうなることやら・・・

**DNS未登録さん** · 03/09/10 01:25

yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-"

デザインが変...

**DNS未登録さん** · 03/09/21 00:51

もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。
当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。
全部 bbtec.net 遮断に決定。俺は困らねぇし。

**DNS未登録さん** · 03/09/21 01:06

UDP LOOPアタックくらいまくりなんですがどうしたらいいですか？
特定の相手難ですが。

**DNS未登録さん** · 03/09/21 23:20

2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"

パッチ当ててない鯖って周りにも迷惑かけて最悪だな

**DNS未登録さん** · 03/09/22 00:48

ahooBBキター

2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

**困ってるよん** · 03/09/22 22:08

IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか？
これずっとやられて、アクセス数がどんどん増えて行ってしまいます。
同時接続数が限られる環境でこの攻撃は痛いです。
だれか辞めさせる手段をご教授お願いします。
2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 -
2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 -
2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 -
2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 -
2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 -
2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 -
2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 -
2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 -
2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 -
2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 -
2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 -
2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 -
2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 -
2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 -
2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 -
2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 -
2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 -
2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 -

**DNS未登録さん** · 03/09/22 22:16

ホウムペイジ作り中だよっ
http://azarashi.ddo.jp/

**sage** · 03/09/23 01:18

うちのSnortSnarfの警告ページね。

2つの異なるイグネチャーが219.96.206.60として存在しています。発信源

・65個の事例はWEB-IIS ISAPI .ida attempt
・65個の事例はWEB-IIS cmd.exe access

ここ学校なんだよね～
あまりにウザイからwhoisでわざわざ調べて
メールで教えてあげようと思ったら。
failure noticeときたもんだ！

管理ちゃんとしようよー

**DNS未登録さん** · 03/09/23 12:08

>>234
219.96.206.60 = haruna.kibou.ed.jp
適当にpostmaster@とかwebmaster@に送ってみたらどうよ

**DNS未登録さん** · 03/09/25 17:34

いまだにcoderedとかに感染している奴氏んでしまえばいいのに

**DNS未登録さん** · 03/09/25 17:59

codegreenを(ry

**DNS未登録さん** · 03/11/02 17:33

WINNTAutoAttackっていうんですかこれ？
221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%
u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
（以下略）

中国人かな？

**DNS未登録さん** · 03/11/20 11:11

taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404

**Hacktool.WKRShell** · 03/11/21 00:09

http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html

Hacktool.WKRShell
セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/

Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20031112_MS03-049
EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html
MS03-049が危険な理由 (ZDNet)
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html

**DNS未登録さん** · 03/11/30 02:44

445 のアタックすさまじすぎ

**DNS未登録さん** · 03/11/30 13:08

最近こんなのばっか
213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
誰か対処法教えて…ログがわけわかんなくなる

**DNS未登録さん** · 03/11/30 13:47

ウチは、ルータで Directed Broadcast 破棄しといた

**DNS未登録さん** · 03/12/01 00:13

65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -%
アメリカより。

**DNS未登録さん** · 03/12/02 14:27

>>242
ping に反応しなきゃ送ってこない

**DNS未登録さん** · 03/12/03 18:21

>>245
うちのルータもpingを排除したら迷惑な香具師も少なくなりますた

**DNS未登録さん** · 03/12/03 23:16

一日1500くらいアタックがくるよ。
一分に一回程度。
やんなっちゃう。
真っ当なアクセスなら1500って夢のような数字だけどさ

ルータ新しいのにかえようかなあ
pingを排除できるルータがあるんならかえたい。
けど、金ない。
よわったのお

**DNS未登録さん** · 03/12/11 16:10

>>247
iptables -A INPUT -p icmp -i ppp+ -j DROP
ｽﾚ違いﾚｽ

**DNS未登録さん** · 04/01/21 04:09

なんかこのスレ見て自分の鯖が心配になってきた。
確認する方法と防ぐ方法きぼんぬ。

**DNS未登録さん** · 04/01/24 05:10

OSがWindowsならWindowsUｐだて汁！
他のOSはｼﾗﾈ

**DNS未登録さん** · 04/01/27 02:10

>>249
linuxとかにしる

**DNS未登録さん** · 04/01/27 19:07

>>249
鯖の電源切れば心配しなくてもよくなるYO

**DNS未登録さん** · 04/01/28 16:31

良スレage

**DNS未登録さん** · 04/02/05 00:53

同じIPから毎日のように来るので
調べてみたらどうやらクライアント機らしい。
同じ時間帯に集中するのは､その時間帯に電源入れてるから。
updateやウイルスチェックぐらいしろと…

**DNS未登録さん** · 04/02/05 01:15

　　　　　　　巛彡彡ミミミミミ彡彡
　　　　　　巛巛巛巛巛巛巛彡彡
　　　r､r.r ､|:::::　　　　　　　　　　|　
　　r |_,|_,|_,||::::::　　　　 ⌒　　　⌒|
　　|_,|_,|_,|/⌒　　　　 -="- 　(-="　　　　
　　|_,|_,|_人そ(^i　　　 '"" ) ･･)""ヽ　　
　　|　)　　ヽﾉ　|.　　┃｀ー-ﾆ-ｲ｀┃　　　　そうでっか、そうでっか、なるほどね
　　|　　`".｀´ 　ﾉ　　 ┃　　⌒ 　┃|　　
　人　　入＿ノ´　　　┃　　　　┃ﾉ＼　
／　　＼＿／＼＼　　 ┗━━┛/ ＼＼
　　　　　／　　＼　ト ───ｲ/　　ヽヽ
　　　　 /　　　　　｀　─┬─ イ　　　　 i i
　　　　/　　　　　　　　　 | 　　　　　Y　　| |
　　　 / 　　　　　　　　　 | 　　　　　ヽ＿_|_|

　　　　　　　巛彡彡ミミミミミ彡彡
　　　　　　巛巛巛巛巛巛巛彡彡
　　　r､r.r ､|:::::　　　　　　　　　　|
　　r |_,|_,|_,||::::::　　　　／'　　'＼ |
　　|_,|_,|_,|/⌒　　　　 (・ )　　(・ )|
　　|_,|_,|_人そ(^i　　　　⌒ ) ･･)'⌒ヽ
　　|　)　　ヽﾉ　|.　　　┏━━━┓|
　　|　　`".｀´ 　ﾉ　　 ┃　ノ￣i　┃|
　人　　入＿ノ´　　　┃ヽﾆﾆノ┃ﾉ＼　　　・・・・で？seireiやnekoninがサービス悪いとでもいいたいの？
／　　＼＿／＼＼　　 ┗━━┛/|＼＼
　　　　　／　　＼　ト ───ｲ/　　ヽヽ
　　　　 /　　　　　｀　─┬─ イ　　　　 i i
　　　　/　　　　　　　　　 | 　　　　　Y　　|

**DNS未登録さん** · 04/02/10 05:16

>>247
1500アタック／日？普通だよ、普通。
>>249
FW・フィルタ付きのルータを導入し、SYSLOGを見れ。

**DNS未登録さん** · 04/02/11 11:45

最近、時々来る "GET /sumthin"が不気味だな。

200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-"

**DNS未登録さん** · 04/02/11 22:12

>>257
それはサムスンの綴りを間違えたのです。

ってのは冗談で、
ググるとすこしはわかるかもしれませんよ。

**DNS未登録さん** · 04/02/12 17:00

ワームじゃないんだけど
韓国からのアクセスが多い、
ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね
鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、
一時間に3回ぐらいの割合で入ってる
毎回違う串さして同一人物がやってるんだろうか…
他にログが無くてこればっかり並んでるから激しく怖い

**DNS未登録さん** · 04/02/14 20:26

Windows98のIE5.5を詐称するならワーム
たしかWelchiaとかいう

**DNS未登録さん** · 04/03/12 15:12

218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"
218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90" 414 271 "-" "-"

**DNS未登録さん** · 04/03/12 16:35

219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"

**DNS未登録さん** · 04/03/13 03:37

FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、
あれは単に割れ鯖をさがしてるクローラー？

**DNS未登録さん** · 04/03/22 21:24

usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1（ｒｙ

('-`).。oO（鬱陶しいことこの上ないのだが

**DNS未登録さん** · 04/03/31 12:01

220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry
大量にキテル…しかも1リクエストに32Kbyteもある…

鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ

**DNS未登録さん** · 04/04/01 02:36

ログを切り分けたいのですが上手くいかね。

SetEnvIf Request_URI "^/\\x90\\x02" worm nolog
SetEnvIf Request_URI "^/\x90\x02" worm nolog

アドバイスよろ。

**DNS未登録さん** · 04/04/01 04:08

>>266
http://pc3.2ch.net/test/read.cgi/unix/1058797852/812-814
情報が分散するのは良くないよな

**DNS未登録さん** · 04/04/02 02:51

>>267
ありがと，そっちのスレはチェックしてませんでした。

SetEnvIf じゃ分けれませんか(´･ω･`)ｼｮﾎﾞｰﾝ

**267** · 04/04/02 04:18

>>268
なんとな～くだけど、vhost使って分けられそうな気がしない？
大抵のウィルスはhostを名乗らないので、別けられそうな気がする

とか思いつつ、俺は放置してるわけだが

**267** · 04/04/02 05:36

いい機会なんで試してみたが、分離は可能でした
結果だけ報告

**DNS未登録さん** · 04/04/02 19:16

>>266
パイプ経由のロギングを利用するのはどうよ？

CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog

とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。

**DNS未登録さん** · 04/04/02 21:53

267のリンク先の814だが。

Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、
<VirtualHost> で分離するのは当然有効。
ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。

あるいは、「異常なログを隔離する」ではなく、
CustomLog /dev/null common
CustomLog /path/to/access_log combined env=REMOTE_ADDR
のように、環境変数が正常にセットされているもののみ隔離するという方法でも
できそうだが、これはうまくいくかどうかは試していない。

**DNS未登録さん** · 04/04/03 03:17

>>272
<VirtualHost>でhost名を知らないアクセス＝ワームを分離する方法ですが、
これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。
わざわざ串を刺すのはちょっと…。

**267** · 04/04/03 04:13

>>273
うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし
hosts に書くかDNS鯖に細工をすれば対処できませんか？

それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ

**DNS未登録さん** · 04/04/03 11:38

272だが。
IP 直打ちでも Host: にその IP アドレスが入るので、
プライベートアドレスを ServerAlias に指定すればよし。

NameVirtualHost *
<VirtualHost *>
ServerName dummy.host
CustomLog [隔離ログ]
...
</VirtualHost>
<VirtualHost *>
ServerName xxx.yyy.zzz
ServerAlias localhost 127.0.0.1 192.168.0.1 ...
CustomLog [ほんとのログ]
...
</VirtualHost>

このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は
dummy.host の設定が使われる。

**273** · 04/04/03 15:51

>>274-275

大変参考になりました。

で、>>261他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので
アクセスログの書式も

　\"%r\"　→　\"%m %!414U %H\"

として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、
ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。

**DNS未登録さん** · 04/04/04 02:33

どうしよう。ログにクソクエリの跡が

**DNS未登録さん** · 04/04/05 22:05

ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか？

**DNS未登録さん** · 04/04/06 10:08

SEARCH /\x90\x02\xb1（中略）\x90\x90\x90\x90 で来るヤツって
www のホスト名で来てませんか？

**DNS未登録さん** · 04/04/06 10:14

>>278
/dev/zeroにしてください

**278** · 04/04/06 14:51

>>276
レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった
特殊デバイスはApacheではアクセスできないようになっているみたいですね。
実験的にDocumentRootに設定してみましたが、エラーログには

[Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero

と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。
まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。

**DNS未登録さん** · 04/04/06 15:13

いや、/dev/zeroはネタだろ…。

**DNS未登録さん** · 04/04/06 15:26

/dev/shm

**DNS未登録さん** · 04/04/14 13:37

保守

**sage** · 04/04/21 15:04

誘導されてきました．
SEARCHとかのワーム攻撃を避けるために，
NGSecureWeb for Linux
http://canon-sol.jp/product/ng/index.html
とか
SRP(Secure Reverse Proxy)
http://www.gomibako.com/~umesan/srp/
とか使ってる人います？役に立ちますかね？

**DNS未登録さん** · 04/04/21 16:44

>>285
個人で鯖立ててる分には>>260以降の対策で十分なので要らないな。
まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。

**DNS未登録さん** · 04/04/21 16:53

>>286
ここは自宅鯖板

で、名前にsageを入れる意味は何なんだろう

**DNS未登録さん** · 04/04/30 21:40

自宅で鯖っつか社長の趣味で意味無く鯖立てたとか

最近のウィルスによるアクセスはその人達が原因かな

**DNS未登録さん** · 04/05/04 23:15

最近、ワーム多すぎ。ログがこればっかり。

**DNS未登録さん** · 04/05/04 23:26

ど、どれだ？？（汗

**DNS未登録さん** · 04/05/05 13:54

ログなんか見てネーヨ

**DNS未登録さん** · 04/05/05 14:01

http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ワームについてのお知らせ

休み明けに注意

**DNS未登録さん** · 04/05/09 05:51

WOLでスタンバイにしているが、すぐに起動してしまうのは、ワームのせいなのかよ・・・。

**DNS未登録さん** · 04/06/19 01:01

緊急浮上

**DNS未登録さん** · 04/06/20 01:36

●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..●

無料のウイルス対策ソフトなどのセキュリティソフト一覧
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html

●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...●

**DNS未登録さん** · 04/06/21 23:58

感染しているPCを持っているユーザーに通知してあげたい
HPがあってメルアド書いててくれたら一番、楽なんだけどね
Windowsのメッセージサービスだっけ？　あれって日本語も通るんだっけ？

気づいてくれないかなぁ・・・
218.114.60.82 - - [21/Jun/2004:21:55:14 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1042 "-" "-"

**DNS未登録さん** · 04/06/22 00:08

>>296
messengerサービスは日本語通るよ。

**DNS未登録さん** · 04/06/25 22:10

ほらよ。

ワームの場合やポートスキャンなどのIPアドレスベースのアクセスは、クエリを
ログに保存しない。かつ、すべてのリクエストを拒否する。
おまけで、拒否した403エラーをerror_logにも残さない。

LogFormat "%h %l %u %t \"%m %U %H\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" attacked
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" combined

# Reject IP Adress Access
<VirtualHost XXX.XXX.XXX.XXX:80>
CustomLog logs/access_log attacked
ErrorLog /dev/null

<Directory ~ ".*">
Order deny,allow
Deny from all
</Directory>
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>
ServerName www.example.com
DocumentRoot /usr/local/apache/htdocs
ServerAdmin webmaster@www.example.com
CustomLog logs/example_access_log extended combined
ErrorLog logs/example_error_log
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>
…
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>
…
</VirtualHost>

**DNS未登録さん** · 04/06/25 22:23

ふふーん

**DNS未登録さん** · 04/07/09 04:36

age

**DNS未登録さん** · 04/07/23 16:06

218.88.235.240 - - [23/Jul/2004:03:00:50 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCC･･･

アクセスしてみたら中国のサイトみたいだけど･･･

**DNS未登録さん** · 04/07/23 20:38

>>301
それアタックツールじゃない？
WinNTAutoAttackっていうやつ

**DNS未登録さん** · 04/07/23 22:23

203.205.99.199 - - [22/Jul/2004:01:33:57 +0900] "\xc8C\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:34:44 +0900] "HZ\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:38:12 +0900] "0\x9f\xc0\x1d" 501 - "-" "-"

最近、こういうのが来るようになったんですけど．．．．

**DNS未登録さん** · 04/07/24 00:20

>>303
うちにも来てますね。同じようなの。
メソッドがなくて、リクエスト文字列はバラバラ。
なんらかのワームと思われますけど、
共通の指紋がなくて検索に掛からずいまだ正体不明です。

**DNS未登録さん** · 04/07/24 20:41

Googlebotってのが怖い・・・
誰か助けて。

**DNS未登録さん** · 04/07/24 20:48

>>305
やべーよ、それに狙われたら終わりだよ。
個人情報全部抜かれてるよ、きっと。

**DNS未登録さん** · 04/07/24 21:54

>>305
うちなんかあえてGooglebotが来やすいように対策して
相手をはめてやろうと頑張ってるんだけど全然こないよ

orz

**DNS未登録さん** · 04/07/25 09:02

>>307

もしかして、昔、嘘教えられた人？

Googlebotに来て欲しいなら、robots.txt に

User-Agent: *
Disallow: /

て、書いちゃダメだよ。

人違いならイイんだけど、昔、検索サイトに登録されたいのでロボットに
来て欲しいという人に対して、上記ファイルを書けばロボットが来てくれる
と嘘を教えた人が居たから。

今でも嘘を信じてロボットを待ってるとしたら可哀想で。。。

**DNS未登録さん** · 04/07/25 14:56

>308
スレ違い。

# robots.txt を置いて検索蹴っていたとしても、ロボットが来なくなる
# わけじゃない。
# robots.txtは探すから。
#
# それすら来ない(accessログに残っていない)なら、、、
#
#
# まぁ、イ㌔とだけ言っておこう。

**DNS未登録さん** · 04/07/25 19:04

先方へのお知らせ用のテンプレートってないでしょうかか？

やられていると思われるサーバーから当方のサーバーに、
SSHで進入しようとしたログを見つけました。
国内のとある建築デザイン会社のネットワーク内からなんですが。
お知らせしてあげようかなと思うものの、
一からメール起こすのもなんだかなぁと。

**DNS未登録さん** · 04/08/01 23:30

jedle.ms.mff.cuni.cz - - [31/Jul/2004:01:10:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)
dns.520net.to - - [31/Jul/2004:15:58:28 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)

こんなんもいっぱい来る…って、ワームじゃなくて故意か(^^;

**DNS未登録さん** · 04/08/04 20:29

>>311
それつい先日うちにも来た

**DNS更新ミスさん** · 04/08/16 00:04

Virtual Host の設定例ですよん。

NameVirtualHost *

## default (unknown) domain
<VirtualHost *>
ServerName localhost
DocumentRoot /web/unknown
ErrorLog "|bin\rotatelogs.exe logs/unknown/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/unknown/access_%Y%m%d.log 86400 540" common

HostnameLookups On

<Directory "/web/unknown">
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
</VirtualHost>

## abcdefg.com
<VirtualHost *>
ServerName abcdefg.com
DocumentRoot /web/abcdefg.com
ErrorLog "|bin\rotatelogs.exe logs/abcdefg.com/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/abcdefg.com/access_%Y%m%d.log 86400 540" common
<Directory "/web/abcdefg.com">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

## vwxyx.info
<VirtualHost *>
ServerName vwxyx.info
DocumentRoot /web/vwxyx.info
ErrorLog "|bin\rotatelogs.exe logs/vwxyx.info/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/vwxyx.info/access_%Y%m%d.log 86400 540" common
<Directory "/web/vwxyx.info">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

一個目の設定は二個目三個目の設定に合致しなかったときに評価されるので自然と IP 直打ちによるアクセスと判断可能。
そして、IP 直打ちは access deny に設定する。
web/unknown 自体も作成しない。

あとね、ログを取らないってのはやめたほうがいいと思う。
ログを見て「こういうアタックのされ方もあるんだな」っていう知識にもなると思うわけですよ。

**DNS未登録さん** · 04/08/16 00:11

/web/unknownをdenyにすると、ワームのアクセスがあるたびに
エラーログに client denied by server configuration: /web/unknown が残ってウザくないか？

**DNS未登録さん** · 04/08/16 00:29

それがなぜかですね、
request failed: URI too long
としか書かれてない。

**DNS未登録さん** · 04/08/16 01:22

>>313
> あとね、ログを取らないってのはやめたほうがいいと思う。
> ログを見て「こういうアタックのされ方もあるんだな」っていう知識にもなると思うわけですよ。
言ってる事はもっともだ
でも、最近普通のlogすらチェックしてる時間無くて…

**DNS未登録さん** · 04/08/16 02:00

とりあえず、ありもしないページを要求してきたら、そのIP近辺はまとめてアクセス規制かけるようにしてる。

**DNS未登録さん** · 04/08/16 02:07

っつーかこのスレ来るような奴は基本的に分かってない。

**DNS未登録さん** · 04/08/16 02:15

>>318
ごめんなさい

**DNS未登録さん** · 04/08/23 20:30

OCNってろくに対応しないんでしたっけ？

**DNS未登録さん** · 04/08/26 20:39

219.157.121.142
こんなのが・・・・・

**DNS未登録さん** · 04/08/28 10:51

219.154.151.29
219.154.8.152
219.154.151.29
YahooBB219037248174.bbtec.net

**DNS未登録さん** · 05/02/06 01:52:04

記念かきこんぶ
221.137.138.141
221.14.244.126

**DNS未登録さん** · 2006/05/19(金) 21:46:21

age

**DNS未登録さん** · 2006/06/16(金) 13:24:01

かなり古いすれだ、あ

**DNS未登録さん** · 2006/06/27(火) 02:54:33

ワームにやられてるかどうかもわかりませんが何か？

**DNS未登録さん** · 2006/06/28(水) 00:05:42

ワームにやられたー！
わーーーむ！

**DNS未登録さん** · 2008/01/06(日) 01:16:50

ほ

**DNS未登録さん** · 2008/10/19(日) 22:27:37

>>324
その通り。
努力が足りない非正規雇用の増加や、
正社員の中にもサービス残業が嫌だなどという甘えた輩が増えていることは
その証拠でしょうね。

**SvLQzEuhpfZYQP** · 2009/10/23(金) 01:18:19

The genre began to expand near the turn of century with the development of dime novels and pulp magazines. ,

**AvFKOEZdxFemzT** · 2009/10/23(金) 02:37:36

These are the people he feels at ease with, whose working methods he respects. ,

**DNS未登録さん** · 2009/10/26(月) 21:30:27

鯖だけにアニサキスか

【32.7m】 **電脳プリオン** · 2012/05/06(日) 14:23:37.93

　　∧＿∧
　（　・∀・）　　　　　　　　　　　　人　ｶﾞｯ
　（　　　　つ―-‐-‐-‐-‐-‐○ < 　>__Λ∩
　人　Y ノ.　　　　　　　　　　　　Ｖ｀Д´）/
　し（＿）　　　　　　　　　　　　　　　　　/ 　←>>114

**DNS未登録さん** · 2012/06/17(日) 12:29:53.78

ワーム

**DNS未登録さん** · 2012/07/30(月) 16:10:20.09

1だが、このスレまだ残ってるんだな。
保守がてらあげておこう。

**DNS未登録さん** · 2012/08/15(水) 03:25:11.17

だめだって(~_~;)そとはだめ(｡-_-｡)はいきゅうみすですよこれはf^_^;)

**DNS未登録さん** · 2015/12/15(火) 18:21:32.74

この鯖vvvにやられてます

**DNS未登録さん** · 2016/09/03(土) 22:57:54.15

てすと

**DNS未登録さん** · 2016/09/26(月) 18:06:31.30

【緊急】自衛隊内部で事件発生か!?

東海アマ

北濱さんを殺害したのか？　ニセモノよ！どこに遺体を埋めたんだ？
https://twitter.com/tok aiama/status/779592042154299392

君らが北濱さんを殺害して遺体を埋めるとすれば信太山演習場だろうな
https://twitter.com/tok aiama/status/779592576550567936

すぐにカマに引っかかってくれる、とても素直な性格だね
労せずして君たちが殺害犯であることがよく分かる
君たちの知能程度もよく分かる
君たちが消してしまった、北濱さんの自衛隊内イジメ記事への評論を見れば誰でも君たちが自衛隊員であることが分かる
https://twitter.com/tok aiama/status/779600074561073152

「信太山演習場に遺体を埋めた」と書いた直後に急に激しく反応してるね
友人の自衛官に頼んで信太山演習場内に掘り返し跡がないか調べてもらう予定だったが、
そこまで反応すると真実性が高そうだ
https://twitter.com/tok aiama/status/779602473660981248

とうとう北濱幹也のニセモノにブロックされてしまった
北濱さんの遺体を信太山演習場に埋めたと書いたら、もの凄い反応だった
https://twitter.com/tok aiama/status/779608668136284160

20時5分　無言の不審電話がかかってきた
たぶんニセ北濱グループだろうね
いよいよ襲ってくるのかな？
https://twitter.com/tok aiama/status/779637957649063937

**DNS未登録さん** · 2016/10/28(金) 14:17:24.90

私は元創価の会員でした。
すぐ隣に防衛省の背広組の官舎があるのですが、
自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、
学会本部に送っていました。

別に大したものは写っていません。ゴミ出しとか奥さんが子供を遊ばせている所とか。
官舎が老朽化して使われなくなってから、
今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、
もう守ってやれないのでこれからは満額申告するように言われました。
納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、
朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ
馬鹿らしくなって脱会しました。

それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。
全部自分の出来心から始まった事で、どこに訴えるわけにもいかないのですが、
なんとかあの人たちと縁を切った上で新しい始まりを迎える方法はないんだろうか。

**DNS未登録さん** · 2019/05/27(月) 17:34:05.45

．