この鯖ワームにやられてます
1 :DNS未登録さん:03/02/08 17:15 ID:???.net
自宅で鯖も善いけど、管理はちゃんとしようよ。
ログを汚すだけではなく、ネットワーク資源のムダ使いの
CodeRedやNimdaその他のワームにやられてる鯖を教え合おう!!
管理者がこの板みて、対処を期待する。
289 :DNS未登録さん:04/05/04 23:15 ID:???.net
最近、ワーム多すぎ。ログがこればっかり。
269 :267:04/04/02 04:18 ID:???.net
>>268
なんとな〜くだけど、vhost使って分けられそうな気がしない?
大抵のウィルスはhostを名乗らないので、別けられそうな気がする
とか思いつつ、俺は放置してるわけだが
326 :DNS未登録さん:2006/06/27(火) 02:54:33 ID:JkbEj3FW.net
ワームにやられてるかどうかもわかりませんが何か?
266 :DNS未登録さん:04/04/01 02:36 ID:???.net
ログを切り分けたいのですが上手くいかね。
SetEnvIf Request_URI “^/¥¥x90¥¥x02” worm nolog
SetEnvIf Request_URI “^/¥x90¥x02” worm nolog
アドバイスよろ。
287 :DNS未登録さん:04/04/21 16:53 ID:???.net
>>286
ここは自宅鯖板
で、名前にsageを入れる意味は何なんだろう
162 :148-159:03/05/12 13:50 ID:???.net
>>160
あ、そうだったんですか。
うちが荒らされたりする分にゃ自分が我慢すれば済むけど、よそ様まで巻き込むのは不本意です。
教えていただいた「SetEnvIf HOST FQDN allowed01」を勉強のために検索してみました。
「Host:ヘッダーを指定しないリクエストを拒否する方法。」として、「ワームは、DNSの逆引きでもしない限り
HostヘッダにFQDN名をセットできない、よってIPアドレス指定でアクセスしてきても、404 Object Not Foundエ
ラーが返る。」とありましたので、httpd.confに設定してみました。
しばらくこれで様子を見てみます。ありがとうございました。
今月に入ってCodeRedが1日平均27個、先月あたりからだんだん増えてきているみたいです。
ネット上で見付けた「Code Red Check」というperl scriptと「dnstran」と「analog」使ってマメにログをチェ
ックするぐらいしか出来ませんが、地道にやっていきます。
190 :DNS未登録さん:03/06/25 00:41 ID:???.net
保守age
122 :DNS未登録さん:03/05/01 00:23 ID:???.net
つーか、>119は僅か100程のレスを遡って見る事もできんのか・・・
71 :DNS未登録さん:03/03/20 01:39 ID:???.net
迷惑。マシンごと逝ってくれ、とくに220.13.136.85
YahooBB220013136085.bbtec.net – – [18/Mar/2003:04:00:21 +0900] “GET /default.ida?XXXXXXXXX
YahooBB220013232179.bbtec.net – – [18/Mar/2003:07:09:43 +0900] “GET /default.ida?XXXXXXXXX
YahooBB220027008006.bbtec.net – – [19/Mar/2003:09:17:43 +0900] “GET /default.ida?XXXXXXXXX
313 :DNS更新ミスさん:04/08/16 00:04 ID:Fr/JI0uA.net
Virtual Host の設定例ですよん。
NameVirtualHost *
## default (unknown) domain
<VirtualHost *>
ServerName localhost
DocumentRoot /web/unknown
ErrorLog “|bin¥rotatelogs.exe logs/unknown/error_%Y%m%d.log 86400 540”
CustomLog “|bin¥rotatelogs.exe logs/unknown/access_%Y%m%d.log 86400 540” common
HostnameLookups On
<Directory “/web/unknown”>
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
</VirtualHost>
## abcdefg.com
<VirtualHost *>
ServerName abcdefg.com
DocumentRoot /web/abcdefg.com
ErrorLog “|bin¥rotatelogs.exe logs/abcdefg.com/error_%Y%m%d.log 86400 540”
CustomLog “|bin¥rotatelogs.exe logs/abcdefg.com/access_%Y%m%d.log 86400 540” common
<Directory “/web/abcdefg.com”>
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
## vwxyx.info
<VirtualHost *>
ServerName vwxyx.info
DocumentRoot /web/vwxyx.info
ErrorLog “|bin¥rotatelogs.exe logs/vwxyx.info/error_%Y%m%d.log 86400 540”
CustomLog “|bin¥rotatelogs.exe logs/vwxyx.info/access_%Y%m%d.log 86400 540” common
<Directory “/web/vwxyx.info”>
Options ExecCGI
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
一個目の設定は二個目三個目の設定に合致しなかったときに評価されるので自然と IP 直打ちによるアクセスと判断可能。
そして、IP 直打ちは access deny に設定する。
web/unknown 自体も作成しない。
あとね、ログを取らないってのはやめたほうがいいと思う。
ログを見て 「こういうアタックのされ方もあるんだな」 っていう知識にもなると思うわけですよ。
155 :●かろりーたさん ◆JwU5Ac6TK2 :03/05/11 14:56 ID:???.net
>>148
http://www.21cn.net/
がそのIPアドレスにあると勘違い(?)して参照しようとしてきたリクエスト
7 :DNS未登録さん:03/02/08 18:12 ID:???.net
>>5
あんたYahooBBかい?
249 :DNS未登録さん:04/01/21 04:09 ID:???.net
なんかこのスレ見て自分の鯖が心配になってきた。
確認する方法と防ぐ方法きぼんぬ。
57 :DNS未登録さん:03/03/13 15:56 ID:???.net
>>52
国際的ですね(w
328 :DNS未登録さん:2008/01/06(日) 01:16:50 ID:???.net
ほ
177 : :03/06/14 03:18 ID:???.net
http://yahoobb219055208068.bbtec.net/
バッチリ幹線してるようです。
[2ch@localhost 2ch]wget –spider http://yahoobb219055208068.bbtec.net/
1 HTTP/1.1 200 OK
2 Server: Microsoft-IIS/5.0
3 Date: Fri, 13 Jun 2003 18:18:56 GMT
4 Connection: keep-alive
5 Connection: Keep-Alive
6 Content-Length: 1230
7 Content-Type: text/html
8 Set-Cookie: ASPSESSIONIDQQQQGSUC=KOPNHKABOIBNMLOKLKJJABEE; path=/
9 Cache-control: private
200 OK
どうやって警告したらいいでしょうか。
315 :DNS未登録さん:04/08/16 00:29 ID:???.net
それがなぜかですね、
request failed: URI too long
としか書かれてない。
32 :DNS未登録さん:03/02/13 19:37 ID:???.net
久々だな。
62.217.134.16 – – [13/Feb/2003:19:21:53 +0900] “GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0″ 400 226
210 :DNS未登録さん:03/08/05 11:20 ID:???.net
この会社に恨みがある奴がやりまくったのかな
116 :DNS未登録さん:03/04/22 04:26 ID:???.net
>>113
それってCodeGreen…w
270 :267:04/04/02 05:36 ID:???.net
いい機会なんで試してみたが、分離は可能でした
結果だけ報告
19 :DNS未登録さん:03/02/10 04:21 ID:QfHjKzWg.net
ぷららのDDNSだけどぷららも結構多いよ。
nslookupで引くとほとんどがぷららさん・・・
208 :205:03/08/05 11:11 ID:???.net
20 :DNS未登録さん:03/02/10 15:20 ID:???.net
>19 いまだにnslookup
( ´,_ゝ`)フ゜ッ
75 :DNS未登録さん:03/03/25 15:51 ID:???.net
>>73
下にメアド書いてあるじゃん。とりあえず英語と中国語?で文句言ってみれば?
311 :DNS未登録さん:04/08/01 23:30 ID:???.net
jedle.ms.mff.cuni.cz – – [31/Jul/2004:01:10:41 +0900] “GET /cgi-bin/openwebmail/openwebmail.pl(以下略)
dns.520net.to – – [31/Jul/2004:15:58:28 +0900] “GET /cgi-bin/openwebmail/openwebmail.pl(以下略)
こんなんもいっぱい来る…って、ワームじゃなくて故意か(^^;
114 :山崎渉:03/04/20 05:53 ID:???.net
∧_∧
( ^^ )< ぬるぽ(^^)
148 :DNS未登録さん:03/05/11 02:29 ID:???.net
ログの中にこんなの発見した
218.20.118.230 – – [09/May/2003:05:41:08 +0900] “GET http://www.21cn.net/ HTTP/1.1″ 200 1529
何?
134 :DNS未登録さん:03/05/03 12:26 ID:7iA2vytO.net
http://www13.big.or.jp/‾fubuki/chat/chat2.html
荒らしてもただ見るだけでもOK。これからどんどんロム増えるから。
これと同じヤツをいろんなヤツにコピペしてね
235 :DNS未登録さん:03/09/23 12:08 ID:???.net
>>234
219.96.206.60 = haruna.kibou.ed.jp
適当にpostmaster@とかwebmaster@に送ってみたらどうよ
273 :DNS未登録さん:04/04/03 03:17 ID:???.net
>>272
<VirtualHost>でhost名を知らないアクセス=ワームを分離する方法ですが、
これだとローカルからのIP直打ちアクセスも分離されてしまうんじゃないでしょうか。
わざわざ串を刺すのはちょっと…。
152 :DNS未登録さん:03/05/11 13:26 ID:x4ndWFzf.net
>貴方感染
もしかしたら、なんとなく程度だとしても意味が通じるかもしれない
>鯖PC
これは絶対無理(藁
81 :DNS未登録さん:03/04/06 10:36 ID:???.net
211.158.61.191 – – [06/Apr/2003:05:12:15 +0900] “GET /scripts/root.exe?/c+dir HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:12:20 +0900] “GET /MSADC/root.exe?/c+dir HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:12:25 +0900] “GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:12:31 +0900] “GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:12:36 +0900] “GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:12:41 +0900] “GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:12:47 +0900] “GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:12:52 +0900] “GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:12:57 +0900] “GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:13:02 +0900] “GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:13:08 +0900] “GET /../winnt/system32/cmd.exe HTTP/1.0” 403 194
211.158.61.191 – – [06/Apr/2003:05:13:13 +0900] “GET /../winnt/system32/cmd.exe HTTP/1.0” 403 194
211.158.61.191 – – [06/Apr/2003:05:13:18 +0900] “GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:13:24 +0900] “GET /scripts/..l5c../winnt/system32/cmd.exe HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:13:29 +0900] “GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0” 404 215
211.158.61.191 – – [06/Apr/2003:05:13:34 +0900] “GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0” 404 215
ウザい。
38 :● ◆5PTORPEDog :03/02/15 17:07 ID:LDMrKlpL.net
漏れの所も…
その1
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/scripts
[Fri Feb 14 21:44:55 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/MSADC
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/c
[Fri Feb 14 21:44:56 2003] [error] [client 219.180.88.58] File does not exist: /var/www/html/d
その2
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/scripts
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/MSADC
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/c
[Sat Feb 15 01:25:25 2003] [error] [client 219.185.44.146] File does not exist: /var/www/html/d
両方ともにahoo!BB。
頼むよ。漏れもahoo!BBなんだけどさ(涙
259 :DNS未登録さん:04/02/12 17:00 ID:???.net
ワームじゃないんだけど
韓国からのアクセスが多い、
ログにIPは違うけどIE 5.5 Windows98がずらっと並んでるんだよね
鯖立てたばかりでHPも工事中でTOPページだけ、アクセスなんて殆ど無いのに、
一時間に3回ぐらいの割合で入ってる
毎回違う串さして同一人物がやってるんだろうか…
他にログが無くてこればっかり並んでるから激しく怖い
323 :DNS未登録さん:05/02/06 01:52:04 ID:???.net
記念かきこんぶ
221.137.138.141
221.14.244.126
129 :DNS未登録さん:03/05/03 02:47 ID:???.net
MSNメッセンジャーとかIE、メモ帳位しか開いてないやん。
tptp.exeが大活躍していたりはするけどw
2ちゃんねらーにしては激しくツマンナイ椰子やね。
こういうのが糞スレ立てるんだろうな。
294 :DNS未登録さん:04/06/19 01:01 ID:Jqdp5jls.net
緊急浮上
127 :DNS未登録さん:03/05/02 23:18 ID:???.net
>>118
219.180.88.36 のは日本だし、めちゃくちゃちゃねらーだな (藁
http://219.180.88.36/scripts/root.exe?/c+type+“..¥..¥Docume‾1¥AllUse‾1¥Documents¥DrWatson¥drwtsn32.log”
314 :DNS未登録さん:04/08/16 00:11 ID:???.net
/web/unknownをdenyにすると、ワームのアクセスがあるたびに
エラーログに client denied by server configuration: /web/unknown が残ってウザくないか?
234 :sage:03/09/23 01:18 ID:AzHK5NDc.net
うちのSnortSnarfの警告ページね。
2つの異なるイグネチャーが219.96.206.60として存在しています。発信源
・65個の事例はWEB-IIS ISAPI .ida attempt
・65個の事例はWEB-IIS cmd.exe access
ここ学校なんだよね〜
あまりにウザイからwhoisでわざわざ調べて
メールで教えてあげようと思ったら。
failure noticeときたもんだ!
管理ちゃんとしようよー
150 :DNS未登録さん:03/05/11 03:59 ID:???.net
202.196.110.208 – – [11/May/2003:00:01:29 +0900] “GET /default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0″ 404 2973 “-” “-”
チョン国の中学校の鯖が感染しております。
なんてメールしたらいいかな「貴方感染。鯖PC code red」漢文わからん(T_T)
>>128のような情報を引っ張るにはどうしたらいいの?
http://IPアドレス/scripts/root.exe?/c+type+”..¥..¥Docume‾1¥AllUse‾1¥Documents¥DrWatson¥drwtsn32.log”
ってリクエストすればいいの?404なったけど。
330 :SvLQzEuhpfZYQP:2009/10/23(金) 01:18:19 ID:???.net
The genre began to expand near the turn of century with the development of dime novels and pulp magazines. ,
72 :DNS未登録さん:03/03/20 10:39 ID:???.net
>>71
うちも220.*.*.*からばかり来てるな。
まだそれほど多いと感じて無いけど。
94 :DNS未登録さん:03/04/15 13:53 ID:???.net
略称のほうは知ってた・・
APNICかよ。
マトモなとこだから他から経由されてるだけな気がするな・・・
53 :DNS未登録さん:03/03/11 06:40 ID:???.net
ま た 中 国 か
223 :山崎 渉:03/08/15 22:39 ID:???.net
(⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
229 :DNS未登録さん:03/09/21 01:06 ID:yExHdUrY.net
UDP LOOPアタックくらいまくりなんですがどうしたらいいですか?
特定の相手難ですが。
212 :DNS未登録さん:03/08/05 12:56 ID:???.net
atfr064007013.do.ppp.infoweb.ne.jp – – [04/Aug/2003:01:02:25 +0900] “GET /defaul
t.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0″ 404 332 “-” “-”
yahoobb219214144203.bbtec.net – – [04/Aug/2003:12:12:29 +0900] “GET /default.ida
?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c
3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0″ 404 332 “-” “-”
この2ホスト、ここ1ヶ月ほど止まらない。
毎日回線を切ってるのか、IPアドレスは毎回変わるんだが・・・
そろそろISPのabuseにでも連絡すっかな。
291 :DNS未登録さん:04/05/05 13:54 ID:???.net
ログなんか見てネーヨ
レスを投稿する(名前省略可)