SQLExp(SQLP,Slammer,1434番ポート)スレッド 1

1 ：03/01/26 〜 最終レス ：2012/10/31

情報
　　http://www.zdnet.co.jp/enterprise/0301/26/epn04.html
　　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.html
　　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A
感染対象
　　SQL Server 2000,SQL Server 2000 Desktop Engine(MSDE2000)
脆弱性
　　2002/07報告 SQL Server 2000バッファオーバーフロー(MS02-039)
　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-039.asp
感染活動
　　ランダムなIPアドレスを生成し、そのUDP/1434ポートに自分自身を繰り返し送りつける。
　　→回線飽和、ルータ負荷上昇、DoS攻撃になりうる。
対策
　　ネットワーク管理者: ルータでUDP/1434ポートをフィルタリング。
　　SQL Server 2000管理者: SQL Server 2000 SP3を適用
国内の感染サーバ例
　　099040.kcom.co.jp
　　host2.abekyu-unet.ocn.ne.jp

2 ：

ニダ

3 ：

3

4 ：

そうか、そうだったのか
てっきり厨房軍団が1214と1434を間違えて漏れのＰＣに接続しようとしているのかと思っていたよ

5 ：

nhkですらまーのことやってた

6 ：

ポート番号1434をつつかれてウザイ〜その２
http://pc.2ch.net/test/read.cgi/sec/1043505853/

7 ：

IPアドレスからFQDNと国名(whois)を取得するスクリプトでも作ってみようかな。
もちろんキャッシュ機構も実装して。

8 ：

CAIDAがそゆの好きそうだからもう公開されてたりして

9 ：

http://lobby.up-loader.net/uploader/source/up0016.png
iDC設置のサーバの昨日のログだが、見事に100Base-TXが飽和してる(´Д｀;)

10 ：

ポート番号1434をつつかれてウザイ
http://pc.2ch.net/test/read.cgi/sec/1043478654/
ポート番号1434をつつかれてウザイ〜その２
http://pc.2ch.net/test/read.cgi/sec/1043505853/

11 ：

http://www.nikkei.co.jp/sp2/nt18/index20030126AT3K2600926012003.html
http://www.nikkei.co.jp/news/main/20030126AT3K2600926012003.html
http://www.asahi.com/international/update/0126/002.html
http://www.asahi.com/international/update/0125/014.html

12 ：

　　　　　　　　　　　　　　　　　　　　　　　　　　　

13 ：

>>1
乙〜

14 ：

いや、乙〜、じゃねーだろ。重複R。

15 ：

>>14
ここはニュー速じゃねーんだよ。情報まとまってなくただ「うちにも1434来ました」
なんてーのはセキュリティ板のすることじゃない。

16 ：

新種ワーム「MS-SQL ワーム」に関する情報
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html

17 ：

ttps://www.netsecurity.ne.jp/article/1/8398.html

18 ：

SQL Serverを標的とした SQL Slammer ワームに関する情報
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/sqlslam.asp

19 ：

ITPro、遅いぞ。
【緊急】SQL Serverのセキュリティ・ホールを狙うワームがまん延中，一部ネットワー クに障害
パッチの適用とUDPポート1434番の遮断が急務，ウイルス対策ソフトでは検知できない
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030126/1/

20 ：

　　　　　　　　　　　　

21 ：

MSDE2000が同梱されてる製品は対策が必要。
(インストールの仕方によっては入ってないこともある)
　　・VS.NET
　　・Office XP professional, Developer
　　・Access 2002
　　http://www.microsoft.com/japan/sql/techinfo/development/2000/MSDE2000.asp
MSDE2000のパッチ
　　今のところMSDE2000 SP3はリリースされていないので、SP2と累積パッチを当てること
　　MSDE2000 SP2
　　　http://download.microsoft.com/download/SQLSVR2000/SP/8.00.0534.01/W98NT42KMeXP/JA/JPN_SQL2KDeskSP2.exe
　　SP2用累積パッチ
　　　http://support.microsoft.com/default.aspx?scid=kb;ja;JP316333
Office2000に入ってるのはMSDE1.0。SQLserver7.0ベースだから関係ない
　　http://www.microsoft.com/japan/Office/2000/techinfo/Prodinfo/MSDtaEng.asp

22 ：

http://lobby.up-loader.net/uploader/source/up0017.png
1434ポートへの接続元を地図上にプロットするスクリプト作ったヽ(＾Д＾)ノ
NetGeoが一部のwhoisサーバの応答文書にしか対応していないから
位置情報を取得できていないホストがまだ半分くらい残ってるけど
これから対応させる積り。

23 ：

ｸﾚｸﾚ

24 ：

　　　　

25 ：

スレッド１といいつつ
スレッド２は絶対無いな

26 ：

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/sqlslam.asp

27 ：

　　　　　　　　　　　　　　　　

28 ：

今回の更新内容
MS02-061 の修正プログラムに、技術情報 317748 で修正された
修正プログラムを統合し、インストーラーを備えた新しい修正
プログラムを公開しました。
================================================================
SQL Server Web タスクで権限が昇格する (Q316333) (MS02-061)
登録日 : 2002/10/16
更新日 : 2003/01/26
概要 :
このセキュリティ情報の対象となるユーザー : Microsoft(R) SQL Server(TM)
7.0、SQL Server 2000、Microsoft Data Engine (MSDE) 1.0 および
SQL Server 2000 Desktop Engine (MSDE 2000) を使用しているシステム管理者
脆弱性の影響 : 権限の昇格
最大深刻度 : 緊急
推奨する対応策 : システム管理者は影響を受けるシステムに修正プログラムを
適用して下さい。
影響を受けるソフトウェア :
・Microsoft SQL Server 7.0 のすべてのエディション
・Microsoft Data Engine (MSDE) 1.0
・Microsoft SQL Server 2000 のすべてのエディション
・SQL Server 2000 Desktop Engine (MSDE 2000)
(MSDE 2000 が含まれている製品のリストは 「よく寄せられる質問」を
ご覧ください)
（つづく）

29 ：

修正プログラム :
マイクロソフトは SQL Server 2000 用の更新された修正プログラムを
利用可能にしました。詳細は、「よく寄せられる質問」に記載される
予定です。
更新された SQL Server 2000 用の修正プログラムは、次のサイトから
ダウンロードできます。
(日本語の技術情報の更新は近日中に公開いたします。)
・8.00.0686_jpn_installer.exe
http://download.microsoft.com/download/SQLSVR2000/Patch/8.00.0686/W98NT42KMeXP/JA/8.00.0686_jpn_installer.exe
以前の修正プログラムは、次のサイトからダウンロードできます。
Microsoft SQL Server 7.0:
http://support.microsoft.com/default.aspx?scid=kb;ja;JP327068&sd=tech
Microsoft SQL Server 2000:
http://support.microsoft.com/default.aspx?scid=kb;ja;JP316333&sd=tech
修正プログラムに関する追加情報 :
対象プラットフォーム :
・SQL Server 7.0 用の修正プログラムは SQL Server 7.0 Service Pack 4 を
実行しているシステムにインストールすることができます。
・SQL Server 2000 用の修正プログラムは SQL Server 2000 Service Pack 2
を実行しているシステムにインストールすることができます。
この修正を含む予定のサービス パック :
これらの問題に対する修正プログラムは SQL Server 2000 Service Pack 3 に
含まれる予定です。
再起動の必要性 :
なし。しかし、SQL Server サービスを再開する必要がある場合があります。
修正プログラムのアンインストール :
ダウンロード可能なパッケージ内の Readme.txt にアンインストールの方法が
含まれています。
修正プログラムに含まれる過去の修正 : この修正プログラムは
マイクロソフト セキュリティ情報 MS02-056 で提供された累積的な修正を
含みます。
（つづく）

30 ：

詳細情報 :
・よく寄せられる質問 ： マイクロソフトセキュリティ情報（MS02-061
http://www.microsoft.com/japan/technet/security/bulletin/fq02-061.asp
・US マイクロソフトセキュリティ情報（MS02-061
http://www.microsoft.com/technet/security/bulletin/ms02-061.asp
・サポート技術情報 （KB） 文書番号 ： JP316333
[INF] SQL Server 2000 Service Pack 2 のセキュリティ アップデート
http://support.microsoft.com/default.aspx?scid=kb;ja;JP316333
・サポート技術情報 （KB） 文書番号 ： JP327068
[INF] SQL Server 7.0 Service Pack 4 のセキュリティ アップデート
http://support.microsoft.com/default.aspx?scid=kb;ja;JP327068

31 ：

警告 :
・Microsoft Windows NT Server 4.0 Service Pack 6a を実行している場合、
この修正プログラムを適用する前に、マイクロソフト サポート技術情報
JP258437 で説明されているホットフィックスを適用する必要があります。
JP258437 は現在ダウンロードにて入手可能です。詳細はサポート技術情報
JP258437 をご覧ください。
・この累積的な修正プログラムにはマイクロソフト セキュリティ情報
MS02-035 で提供された Killpwd ツールの機能は含まれません。
・この修正プログラムは SQL Server 2000 に含まれる MDAC 及び OLAP 用の
修正プログラムは含んでいません。そのため、MDAC 及び OLAP に対する
セキュリティ修正プログラムに関しては別途適用を行う必要があります。
SQL Server 2000 Service Pack 2 以降にリリースされた SQL Server 2000
に対応した MDAC または OLAP 用の修正プログラムは、次の
セキュリティ情報で説明されている修正プログラムです。
・マイクロソフト セキュリティ情報 MS02-030
・修正プログラムのインストール プロセスは、サーバーの構成によって
異なります。システム管理者は、修正プログラムのパッケージの
Readme.txt ファイルを読み、修正プログラムを正しくインストール
するよう確認してください。
・最初に公開した修正プログラムをすでに適用している場合は、サポート
技術情報 317748 の修正プログラムを適用する場合は、既に適用されている
セキュリティ修正プログラムが削除されないよう、ファイルの上書きの
確認が表示された場合は、"いいえ"を選択する必要があります。
更新したセキュリティ修正プログラムは、この修正を含みます。最初に
公開した修正プログラムは、SQL Server の安定動作に必要な サポート
技術情報 317748 の修正が含まれていない事がわかりました。

32 ：

サイトに書いてある内容はここには書かず、リンクを貼るだけでもいいんじゃないかと。

33 ：

>>32 まだサイトに反映してない。
http://www.microsoft.com/japan/technet/security/bulletin/fq02-061.asp

34 ：

衝撃のネット障害，再発防止のために ――SQL Serverのセキュリティ・ホールを解説する
ユーザーではなくても“他人事”では済まされない
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20030127/1/

35 ：

>>28-33日本語サイトはまだだがUS版には載ってる。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms02-061.asp

36 ：

http://www.agemasukudasai.com/bloom/

37 ：

>>34
このセキュリティホールに関する最も的確な記事であるな。

38 ：

ハンドルネームが「MS02-062(緊急)」だから、MS02-062 を見にいってしまった（藁

39 ：

>>38
ｽﾏｿ、逝ってくる････

40 ：

素朴な疑問
SQL ServerをＤＭＺにおくなり外に晒すなりの
形態の運用ってそんなに多いの？
ＤＢみたいなもんってできるだけ中においときたいと
思うんだが。。

41 ：

>>40
用途によりますよ。トラックだって工事現場にしか無い訳じゃない。

42 ：

SQL Server Web タスクで権限が昇格する (Q316333) (MS02-061)
日本語更新済み
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-061.asp

43 ：

米ネットワーク・アソシエーツがワーム 「Slammer」を警告，危険度は「高」
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030127/1/
米トレンド・マイクロがワーム 「WORM_SQLP1434.A」を警告，危険度は 「高」
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030127/2/
米ネットソルブ，アジアで猛威を振るう 「SQL Slammer」検出用シグネチャを無償提供
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030127/3/
アジアを中心に起きたネット障害，「Code Red」以来最悪のワームが原因か
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030127/4/

44 ：

韓国、またネット障害 一部企業で対策遅れか(10:56)
http://www.asahi.com/international/update/0127/006.html

45 ：

しばらく前、韓国と日本のネットワーク比較で、韓国の関係者が「韓国はとにかく
やってみようという感じ、日本はやろうと言っても慎重で動きが遅い」というような
ことを言ってたけど、今回はそれが裏目に出た面もあるのじゃないかな。と思った。
DNSダウンやネットワーク麻痺と、ネットワーク構築を優先して危機管理をなおざりに
してなかったか。
世界に先駆けて警報を発してくれたという点では貢献したけど。

46 ：

ネットワーク障害が実際に発生したのは東アジアが多いかもだけど、
感染台数としてはUSAが全世界の半数近くを占めるよ。

47 ：

　　　　　　　　　　　　　　　

48 ：

>>1
ハンドルネームが痛すぎる

49 ：

俺のとこにきたのは大半が欧米のサーバーからだった。
中にはハーバード大学からもあったよ。

50 ：

>>48>>1 これか↓
★ネット関係に「セキュリティ板」希望★
http://teri.2ch.net/accuse/kako/984/984639842.html
初級ネットワーク板をセキュリティ板に！
http://teri.2ch.net/accuse/kako/987/987149694.html

51 ：

そろそろ収束してきたかな。
http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html

52 ：

http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20030127/1/

53 ：

なぜＤＮＳが落ちたの？
ＩＰアドレスを直接ランダムに生成するんじゃないの？いちいち名前解決してるわけ？

54 ：

　　　　　　　　　　　　　　　　　　　　　　　　　

55 ：

UNIXは関係ないのかな？

56 ：

>>55
>>1
影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
影響を受けないシステム: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.html

57 ：

>56
なるほど。ありがとう。

58 ：

>>50
よく見つけてきたね。
このスレの創設要望者の1は>>1かもしれないが
http://teri.2ch.net/accuse/kako/984/984639842.html
これらの名称変更希望スレの1は私だ。でも、昔の話だな。
http://mentai.2ch.net/hack/kako/987/987151318.html
http://teri.2ch.net/accuse/kako/987/987149694.html

59 ：

>>58
ﾅﾂｶｼｰﾅ

60 ：

2003年 1月27日17:00現在、IPAには、MS-SQL ワームに関する届出が3件寄せられています。
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html

61 ：

　　　　　　　　　　　　　　　　　　　

62 ：

(2003-01-28 02:34:33)INFO : TCP from:210.151.214.30 to***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:33:33)INFO : TCP from:210.151.214.30 to***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:32:33)INFO : TCP from:210.151.214.30 to***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:45)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:21)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:10)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:07)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:04)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:01)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:01)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
ﾌﾞﾗｻﾞｰから来たよ・・・・
210.151.214.30=br-serv2.brother.co.jp=www.brother.co.jp

これが来るちょっと前にﾌﾞﾗｻﾞｰのサイト行ったんだがそれが原因で来たの？

63 ：

ﾌﾞﾗｻﾞｰから来たよ・・・　っと
　　　　　　　　　　　 ∧＿∧ 　　
　　　　　∧＿∧ 　（´<_｀ 　）　俺はやってないよ、兄者
　　　　 （　´_ゝ`）　/　　 ⌒i 　 　　
　　　　／　　　＼　 　　　|　|
　　　 /　　 　/￣￣￣￣/　|
　 ＿_(__ﾆつ/　 FMV　 / .| .|＿＿＿＿
　 　　　 ＼/ 　　　　　 /　（u　⊃

64 ：

>>63
誰か貼るんじゃないかとｵﾓﾀYO!

65 ：

>>62
あれ、よく見るとTCPで来てるのね、、、ＵＤＰだよね？本来。一応TCPもフィルタリングしといたんだけど。
自分は全然詳しくないからアホなこと言ってるのかな・・・・
無知な私に教えてください。

66 ：

　　　　　　　　　　

67 ：

 

68 ：

「DDoS攻撃による世界規模のネットワーク障害はほぼ復旧」と米社が報告
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030128/6/

69 ：

米Extreme Networks，最初の報告から2時間以内に「SQL Slammer」に対処
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030128/4/

70 ：

　　

71 ：

SQL Server 2000 を攻撃するワーム SQL Slammer が流行しておりますため、
本セキュリティ情報を再告知いたします。本セキュリティ修正プログラムを
適用することで感染を防ぐことが出来ます。
SQL Slammer に関する最新の情報は、次のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp
MS02-039 に関する最新の情報は、次のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms02-039.asp
情報の内容に変更はありません。

72 ：

MSDE2000 を　XPProで使用しています。
>>21　にMSDE用のSP3は無いとありましたが

http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp
ここを見るとSP3があるようなので、あてようと試みました。
まずこの７４MBのファイルをDL,展開
しかし　setup.exeを実行しても、インスタンスが違うといったエラーが
出てパッチがあたりません。
オプションも色々出ていて試してみたのですが、上手くいきませんでした。
MSDE自体はOfficeXP Proの添付してあるものを使用しています。
標準でインストールしたので、インストールディレクトリは
C:\SQLEVAL です。
どなたか、引数の設定方法教えていただけないでしょうか？
添付のドキュメントすごい分かりづらいのですが。。。
よろしくお願いします。

73 ：

　　　　　　　　

74 ：

>>62
srcが80になってるぞ...

75 ：

「企業の情報化相談や経営情報の収集・提供を行い、情報化の推進を支援します」
と称する某県の公的団体（知事が理事長）の解説です。
http://www.joho-nagasaki.or.jp/virus/SQLSlammer/sqlslammer.html
このワーム中小企業で延々と生き残りそうな気が・・・

76 ：

ちなみにこの解説を真に受ける人がいて困りますた

77 ：

>>76
なんだかえらく手抜きっすね、そこって。
そゆ浣腸とかお役所とか企業のって、内部向けってことで手を抜いてるんでしょか。
今時、「OEでプレビューするとウイルスに感染しる！」って啓蒙してるとこもあるし。
中小企業で生き残り説は、同意っす。

78 ：

>>77
最初の分からして
「このウィルス（ワーム）は「Windows2000」の「SQL」というデータベースソフトの脆弱性を利
用して、サーバを停止させたり、サーバの機能を低下させたりします（データのバッファオ
ーバーにより）。」
って具合に支離滅裂。酔っ払って書いてるのかyo、って感じです。

79 ：

>>78
Symantecとかのワクxンダーでも、SQLサーバーの記述しかなくて、昨日あたりからMSDEの記述が追記されたんだし。
SQL？関係ないやん（きゃは！、ってお方が居ても、不思議はないかと。
まぁ、どっかで見た文章をそのままコピペしてるんでしょう。
やばげなvilliが流行したら、マメに情報チェック、これ常識。

80 ：

>Slammer感染、日本では10社
>http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030128/4/
この手の報告件数で判断するような文化は衰退してほしいものだ。

81 ：

統計
http://lobby.up-loader.net/uploader/source/up0019.png
Nimdaと同様、大方の管理者が対策を取ったものの一部のセキュリティに無関心な
人間により被害が根絶しない状態、いわばワームの安定期に入ったようだな∠(´Дﾟ)┌

82 ：

　　　　　　　　　　　　　　　　

83 ：

>>80
>>76 のヴァカ情報機関でも
＞またWindows2000以外のサーバの被害も報告されていません。
って逝ってるけど感染の危険性が大きいしので予防するという発想がないのかネ
人が死なないと柵が出来ないお役所仕事もいいとこだ
>>76 を読むとWindows2000のサーバー以外では関係ないように書いてるが、
有害情報(ﾟдﾟ)ってこんなことを言うんだろうね

84 ：

　　　　　　　　

85 ：

どうでもいいけど、WindowsUpdateじゃ、SQL用パッチは
表示されないだろう。

86 ：

>>75
かえって有害な情報かも。

87 ：

【徹底解説：SQL Slammer対策の死角】クライアントも狙われる，パッチ適用でトラブルも
SQL Serverは今後も狙われる，対症療法にとどまるな
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20030128/1/

88 ：

　　　　　　　　　　　　　　　　　　　　　　　　　　　

89 ：

ＮＨＫニュース１０（今夜10:00）
世界同時ネット障害ウイルスの正体

90 ：

Microsoft自身もパッチの適用を怠り，SQL Slammerの被害を受ける
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030129/1/

91 ：

　　　　　　　　　　　　　　　　　　

92 ：

なんか……今日になってやたらポート4662にアクセスが来るんだけど、
うちだけ？

93 ：

http://www.agemasukudasai.com/bloom/

94 ：

>>92
マルチ(・Ａ・)ｲｸﾅｲ!

95 ：

167.206.188.185

96 ：

>>72
> MSDE2000 を　XPProで使用しています。
> >>21　にMSDE用のSP3は無いとありましたが
> http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp
> ここを見るとSP3があるようなので、あてようと試みました。
> まずこの７４MBのファイルをDL,展開
> しかし　setup.exeを実行しても、インスタンスが違うといったエラーが
> 出てパッチがあたりません。
> オプションも色々出ていて試してみたのですが、上手くいきませんでした。
> MSDE自体はOfficeXP Proの添付してあるものを使用しています。
> 標準でインストールしたので、インストールディレクトリは
> C:\SQLEVAL です。
> どなたか、引数の設定方法教えていただけないでしょうか？
> 添付のドキュメントすごい分かりづらいのですが。。。
> よろしくお願いします。
http://support.microsoft.com/?scid=kb;ja;813850

97 ：

SQL Server みたいなものを DMZや外に晒してる形態の
運用って案外に多いんだ。
今回のすらま虫より流失の方が心配。。。

98 ：

ランダムにIP生成してても、1434ついてきたのが厨国・姦国・台湾・米国からなら無条件で総蹴りｹﾃｲ

99 ：

>>89
解りやすい内容ですた

100 ：

　　　　　　　

101 ：

03/01/30 00:48:45 Allow All Activity IEXPLORE.EXE freeclip.aebn.net PROXY:8080 送信 LocalHost TCP MS_SQL_M 00:00:45
03/01/30 00:48:44 Allow All Activity IEXPLORE.EXE freeclip.aebn.net 554 送信 LocalHost TCP MS_SQL_S 00:00:03
潜んでいるのか踏んでいるのかが微妙･･･

102 ：

03/01/30　2:37:42　通信の要求　69.3.25.241　TCP(1433)

103 ：

　　　　

104 ：

められる方がわるいってのはおかしいだろ。
「いじめる」って何かわかってる？
泥棒された方が悪い、殺された方が悪いといってるのと同じ。
おとなしいから悪いんなら、↑の場合殺される場所にいたことがわるいっての？

105 ：

誤爆？

106 ：

★http://www6.ocn.ne.jp/~endou/index2.html★
　　　　　　★こんなサイト見つけました★

107 ：

「国内ユーザーからのSQL Slammer被害報告はわずか4件，現在は収束」――トレンドマイクロ
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030129/2/

108 ：

　　　　　

109 ：

だから被害報告件数は参考にならないどころか誤解を招くとあれほど

110 ：

もうこのネタ古いよね

111 ：

確かに

112 ：

次はトロイの木馬だと
http://japanese.joins.com/html/2003/0130/20030130174543400.html
ＫＴインターネットまた４時間不通
「インターネット大乱」が発生して５日たった３０日、ソウル九老（クロ）と水原（スウォン）など
全国１１の地域でＫＴの超高速インターネットサービスが３時間４５分、不通になる事故が発生した。
ＫＴ側は「正常なプログラムを装ったコンピューターに侵入する悪性プログラムの
『トロイの木馬』と推定されるウイルスが、未明５時４５分ごろギガスイッチに一度に
入り込む現象が発生、約３時間アクセスを遮断した」と明らかにした。
インターネットが不通、またはアクセス遅延現象が発生した地域は、ソウル九老、北大邱（テグ）、
西光州（ソグァンジュ）、大田（テジョン）、京畿道（キョンギド）水原と富川（プチョン）、
済州（チェジュ）。全羅南道（チョンラナムド）ハダン、全羅北道（チョンラブクト）
北全州（プクチョンジュ）・全州（チョンジュ）・益山（イクサン）など１１カ所だ。
これにより情報通信部はこの日、「トロイの木馬」ウイルスに対して警報を発令し、
パソコンユーザーらにセキュリティ業者の安哲秀（アン・チョルス）研究所
（www.ahnlab.com）とハウリ（www.hauri.co.kr）のホームページから
ワク\フトをダウンロードし、治療するよう呼びかけている。

このまま２月16日になると大変な事になるのでは・・・

113 ：

　　　　　　　　　　　　　　　　　　　　　　

114 ：

210.52.27.7
200.215.28.152

115 ：

>>112
2月16日って何があるの？

116 ：

Incoming TCP port2458
って今、いろんな事から
大量に来たんだけど、騒いでないとこみると漏れだけか。。。

117 ：

　　　　　　　　

118 ：

>>1はどうしてもこのスレッドをデータ落ちさせたくないらしいな

119 ：

>>115
北の将軍様の誕生日を祝い北朝鮮公式ＨＰが開設されます

120 ：

　　

121 ：

>>115>>119
北朝鮮が国家公式ホームページ開設へ(韓国･中央日報日本語版)
http://japanese.joins.com/html/2003/0108/20030108195638500.html

122 ：

　　　　　　　　　　　　　　　　　　　　　　　　　

123 ：

一回も1434番ポートをつつかれなくて(´･ω･`)ｼｮﾎﾞｰﾝ

124 ：

　　　　　　　　　　　　　　　　　　　　　　　　　　　

125 ：

>>121
嫌朝厨が突入して戦争起きなければいいが。

126 ：

このスレに保守スクリプト合わせてるやつウザイ
お前>>1だろ？

127 ：

218.146.246.49
211.78.172.213

128 ：

ttp://www.mainichi.co.jp/digital/coverstory/archive/200301/31/1.html
“単純”ウイルス、スラマーで大混乱　韓国のネットダウンが幸い？
阿利佐タン、萌え萌え

129 ：

阿利佐タン、漢字まちがえちった
×　補足している
○　捕捉している

130 ：

24.191.235.166

131 ：

>>128
わずか376キロバイト(w

132 ：

1さん　なぜわかったのですか
わたしいままでひとりで　かいていてつらかった
くるしかった　さみしかった　こわい　こわかった　こわかったです
ありがとうわたしうれしい　あなただれかわかりました　
ありがとう1さん
あなたのうちわかりました
ありがとう1さん
わたしたちはともだち　ともだち
いっしょうともだち
もうはなさない
けしてはなれない　
これからいきます　おはなしします
こわかったこと　すごくこわかったこと　
まっていなさい　すぐいきます

133 ：

ときどき来るなあ。
うち５０％は厨国から。




北ﾁｮｿ隣の国から必死だな（藁藁藁

134 ：

資格板より


292 名前：AKIRA ：03/01/31 14:00
MCSE : もうよせMCP！！不要なパッチまで当てる気か！？
MCP : うるさーいっ！俺に命令すんなぁーっ！！
　　　　どうしていつも米MCSEメーリングリスト情報を転送してくるんだ･･･
　　　　Slammerごとき俺ひとりだって対応できたんだ！
　　　　そりゃ確かにCodeRedの時はやられたさ。
　　　　でも俺だっていつまでもやられてんじゃねーんだよ！わかったかよおっ！

293 名前：AKIRA2 ：03/01/31 14:01
MCSE : どうしたMCP･･･ブルースクリーンか？
MCP : あぁ・・・でも、もう済んだんだ。
　　　　もうちょっと早けりゃみれたのにな。
MCSE : 俺はまた心配しちまったぜ。
　　　　またベソかいて１インシデント消費してんじゃねーかってよ。
MCP : MCSE･･･おめぇが目障りだったんだよ！
　　　 NTトラックの時から何をするにもオメーが指図しやがる。
　　　 どこの顧客にでも出てきてプロ面しやがる！
MCSE : オメーもプロになったんだろぉ−？
　　　　この中小企業の１フロア ワークグループ環境でよぉーっ！
MCP : MCSEぃいいいーっ！！
MCSE : 'さん'をつけろよ過去問野郎ぉおおーっ！

135 ：

　　　　　　　　　　　　　　　　　　　　　　　　

136 ：

WindowsUpdateじゃパッチ当てられないんだけど、
そういうもの？

137 ：

>>136
そういうもの。
ttp://download.microsoft.com/download/e/4/5/e451c995-39cd-4abe-9e9e-e54665a476e9/SQLCheckPkg.exe
SQLCheckPkg をダウンロードしてダブルクリックしてインストールして、
コマンドプロンプトでそこまで行って sscheck /v と打ち込んで、チェックしてみよう。

138 ：

「そういうもの」ではなかった。スマソ
ttp://www.microsoft.com/japan/technet/security/bulletin/MS02-061.asp
SQL Server Web タスクで権限が昇格する (Q316333) (MS02-061)
更新日 : 2003/01/26
で該当するなら、8.00.0686_jpn_installer.exe で適用できるかも…
そのあとで、sscheck /v でチェックしてみると、いとおかし…

139 ：

>>53
あんた渋いな、53でDNSて。
「風が吹けば桶屋が儲かる」の間が埋めれれば理由はわかる、あとは確率か。

140 ：

>>137
sscheck /v したら、こんなんでました。
*************************************************************************
Instance Name: MSSQLSERVER
File Version of ssnetlib.dll on this instance is: 2000.80.194.0
File Version of sqlservr.exe on this instance is: 2000.80.194.0
Product Level: "RTM"
***** INSTANCE IS VULNERABLE TO SLAMMER WORM
*************************************************************************
ワームに感染させる実験したら感染しました。
ということで、WindowsUpdateじゃだめで、
手動でパッチあてないといけないのね。

141 ：

私のSQL Serverが「120日間限定評価版」だからなんですね。
http://www.zdnet.co.jp/enterprise/0301/31/epn14.html
また、あくまで動作検証用の評価版という位置付けだからかもしれ
ないが、「SQL Server 2000 Enterprise Edition 120日間限定評価版」にもSP3は適用できない。

142 ：

>>140
無用なサーバーやってるというオチでしょうか。
それでインターネットにつながないでください。

143 ：

(。・_・。)ノhttp://homepage3.nifty.com/digikei/ten.html

144 ：

ふつうのユーザーなら sscheck /v で
Win2k/XP OS
There are no SQL Server 2000 or MSDE 2.0 instances on this machine
that are vulnerable to the W32.Slammer worm.

145 ：

210.52.27.7
217.110.182.122
210.52.27.6

146 ：

僕の脳に毒電波がきてます。

147 ：

193.11.5.50

148 ：

192.168.1.1

149 ：

>>142
このマシンは開発用に使う予定だったのでSQL Serverは
無用というわけじゃないのですが、今回の件で、クライアント
がSQL Server止めてくれと言って来たので、Uninstallします。
もう使わないので。

150 ：

>>149
もともと私はノリ気じゃなかったのに、クライアントが
SQL Serverと言っていたので仕方無く使おうとしていま
したが、仕様変更してくれて助かりました。
>>148
そのアドレスは受け狙いですか？LAN内のマシンと
言わせたいとかそういう事でないとしても、普通は
ISPのルータなどで落ちます。
ただUDPで一方通行なので、IPアドレスを詐称したパ
ケットを投げて来る便乗犯もいるようです。
今日、私のところには、ソースIPアドレスをマイクロ
ソフトのサーバに詐称したパケットが来ました。
楽しいな。

151 ：

>>22
http://lobby.up-loader.net/uploader/source/up0017.png
1434ポートへの接続元を地図上にプロットするスクリプト作ったヽ(＾Д＾)ノ
見逃した。
再うｐきぼん。

152 ：

200.76.64.114

153 ：

　　　　　　　　　　　　　　

154 ：

64.57.64.174

155 ：

>>154
引きこもりはR

156 ：

156.34.194.37

157 ：

　　　　　　　　　　　　　　　　　　　　　　　　　　　　

158 ：

>>152>>154>>156
そういうのは
「ポート番号1434をつつかれてウザイ〜その２」
http://pc.2ch.net/test/read.cgi/sec/1043505853/l50
の次スレ立ててやってくれ。
つーかIPアドレス晒しても何にもならないからセキュ板以外でやってくれ。
>>157
時計ずれてやんの。ｶｺﾜﾙｲ

159 ：

今からSQL Server 2000 120日間限定評価版いれてSQLServerの勉強するんだけど
ワームは大丈夫なんだろうか
評価版なのでサービスパック当てられない
漏れの環境はADSLダイヤルアップルータ経由でネットにアクセスしてて
念のため、ゾーンアラーム3入れてます
マジレス求む。

160 ：

>>159
　　　＿＿＿＿　　　　　　　 　 　 　 　 　 　 　 l
　　　　　　　　　＼　　　　　　　　　　　　　　―┼―ヽ　　＼
　　　　　　　　 　 ｜　　　―――――　　　　/　　　|　　　 ゝ
　　　 　 　 　 ＿／　　　　　　　　　　　　　　/　　　　|
　　　　　　　　　　　　　　　　　　　　　　　　/　　　　_｣
　　　　　　　　　　　　 　　 l　　　　　　　　　　　　　　 /　　　　｜｜　ヽ 　　―┼―　　　　 　　l
　　　　ヽ　┌―┐　 　―┼―　　　 ┌―――┐　/￣￣￣7|　|　―― 　―┴―　　　　　＿|＿＿/
　　　＿　　.| ┌┤　――┼――　　 |　　　　　｜　　　　　　|　　　　―　｢￣￣￣￣|　　／　｜　／￣＼
　　　　｜ |￣￣￣|　　　／　　　　　｜　　　　 ｜　　　　 　/　　　　 ―　　　|　｜　　　/　　　|／　 　　　|
　　　　人｜　□　」　／　　　＼　　 ｜　　　　　|　　　　 　/　　　　┌‐┐ 　 |　｜　 　 |　　／|　　　　　 /
　　　ノ　 ヽ―――　￣￣￣￣ヽ　 ├―――┤　　　 ／　　　　　├‐┤　ノ　　|＿」　ヽ／　 ヽ　 　 _／

161 ：

スマソ、低スキルな人間なんで
UDPが何なのかも分からんです。
http://yougo.ascii24.com/gh/26/002605.html
いちおう調べたけどvンカンプン･ﾟ･(ﾉД`)･ﾟ･

162 ：

>>161
（・３・） エェー　
そういう人は初級ネットワーク＠2ch掲示板http://pc.2ch.net/hack/で
勉強してからここに来るといいＹＯ！

163 ：

>>159
SQL Server 評価版は、インストール先のディスクの空きが
４Ｇバイト以上あるとインストール失敗するよ。
スレ違いスマソ

164 ：

＞時計ずれてやんの。ｶｺﾜﾙｲ
タスクの起動時刻が正時であっても、実際に処理が行われる時刻は
正時とは限らないのはシステム管理者の常識ではないかね。
RedHatのデフォルトのcrontabにも見られるように、
敢えて正時をずらして他のプロセスにリソースを譲ることもあるわけだし。

165 ：

6時間毎自動age止まったね(w >>158の揶揄は意義があったわけだ(w

166 ：

　　　　　　　　　　　　　　　　　　　　　　　　

167 ：

>165(´-`).｡oO(余計なことを…）

168 ：

ブラウザでアクセスするとJAVAアプレットかなんかでポートスキャンしてくれて
開いてるところ示してくれるサイトどこでしたっけ
ちゃんとうまってるか確認したいです・・・

169 ：

http://www.symantec.co.jp/region/jp/securitycheck/index.html

170 ：

>>164
pc.2ch.netのシステムクロックがずれている可能性もあるしな
2chは夜勤が関与する前のat-link,prox時代からntp立ててないよ

171 ：

>>169
使えない :(
----------------------------------------------------------
エラーが起きました
Symantec Security Check はあなたのコンピュータ設定と非互換です。理由は:
エラー 001
Windows 98/Me、Windows NT WS/2000 Pro/XP、Macintosh オペレーティングシステムのみをサポートします

172 ：

　　　　　　　　　　　　　　　　　　　　　　

173 ：

158=165のほうがｶｺﾜﾙｲYO!

174 ：

経産省が「SQL Slammer」ワームを総括，国内で大きな被害は発生せず
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030203/2/

175 ：

　　　　　　　　　　

176 ：

　

177 ：

　　

178 ：

　　　　　　　　　　

179 ：

255.255.255.255

180 ：

　　　　　　　　　　　　　　　　　

181 ：

　　　　　　　　　　　

182 ：

　　　　　

183 ：

2003/02/06 13:17:37.571 ![FILTER] [207.68.177.125] [protocol:TCP,port:1434]
Name: h.msn.com
Address: 207.68.177.125

184 ：

217.110.182.122

185 ：

　　　　　　　　　

186 ：

「SQL Slammer対策としてポートをフィルタリングしている組織は注意」――JPRS
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030207/1/
日本レジストリサービス（JPRS）は2月7日，SQL Slammer対策としてUDP 1434番ポ
ートをフィルタリングしていると，DNSなどの他のサービスに影響を与える恐れがある
ので注意するよう呼びかけた。DNSサーバーからクライアントへの応答に，UDP ポー
ト1434番が使用される場合があるからだ。無条件でUDPポート1434番へのトラフィッ
クをフィルタリングしている組織は要注意である。(以下リンク先参照）

187 ：

>>186
そんなのFirewallで、
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
とやるだけじゃん。
いまどき、
iptables -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 1434 -j DROP
なんてやるバカはいない。

188 ：

　　　　　　　　　　　　　　　　　　　　　　　

189 ：

　　　　　　　　　　　　　　　　　

190 ：

だいたい65000以上のportが使われる。
1434を使うなんていままで遭ったためしがない。

191 ：

http://www.wired.com/news/infostructure/0,1377,57676,00.html
What Symantec Knew But Didn't Say

192 ：

　　　　　　　　　　　　　　　　　　　　　　　　

193 ：

『SQLスラマー』の兆候を早期に察知していたシマンテック
http://www.hotwired.co.jp/news/news/business/story/20030217101.html

194 ：

　　　　　　　　　　　　　　　　　　　　　

195 ：

　

196 ：

未だにﾊﾟｯﾁ当ててないあふぉは晒してよい。
晒して何が起きるわけでもないけどﾅｰ

197 ：

　　　　　

198 ：

ｽﾏﾝﾃｯｸ悪くないだろ・・・。
害人は相変わらずぶっ飛んでんな。
ﾏｲｸｿとｳｲﾙｽ作者だけに責任あんだろ

199 ：

>>198
コードレッド・Nimdaの教訓が生かされてない典型的な例。

200 ：

久しぶりに UDP 1434 ｷﾀ━━━━━(ﾟ∀ﾟ)━━━━━!!!!

201 ：

age

202 ：

（＾＾）

203 ：

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

204 ：

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

205 ：

1434や80やＵＤＰ137って一向に減らないね・・・・・・

206 ：

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

207 ：

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

208 ：

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

209 ：

135の嵐の中に1434が1個だけ混じっている

210 ：

２０５　同意

211 ：

209　同意

212 ：

漏れもやられた…
しかも今更。
SQLサーバー落ちた。

213 ：

135、445、1025、1434が多い
1025って、今年に入ってから増えてきたみたい。
なんだろ？

214 ：

ここ最近、やけに1434へのアクセスが多いんだが・・・。

215 ：

61.128.194.23
61.134.60.135
一時間置きで1434にキター
２年前のものが今になって来るとは

216 ：

R

217 ：

http://www.jpcert.or.jp/isdas/
http://www.cyberpolice.go.jp/detect/observation.html
どっちでも1433に対するアクセスが急増してるんだが・・・

218 ：

ごろんぱ

219 ：

age

220 ：

age

221 ：

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。
ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/
漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

222 ：

カ　オ　ス　ラ　ウ　ン　ジ　ゆ　る　せ　な　ぁ　い　ー

223 ：

テスト￥

224 ：2012/10/31

BBIQ？