どるこむ仲間の掲示板! 過去ログ倉庫 | LOG:2001/08: | |
●2001年08月インデックス
●過去ログ検索トップ
■どるこむ仲間の掲示板へ
|
[3082] CODERED騒動 (20 レス) 2001/08/06(Mon) 20:56:01 |
Pico_Chan さん |
Web: (none) | |
世間ではCODEREDが暴れまくっているようでして、数分おきに「HTTP Port Probe」されて、鬱陶しいことこのうえなしです。 CATV側でも事態を認識しているようでメールが入ってましたが、基本的にクライアントPCでは打つ手なしですならねえ。 話は変わりますが; http://www.toyo.co.jp/security/news/ids010806.html によりますと、「WindowsNT 4.0のセキュリティロールアップパッケージ(JPQ244999I.exe) をBlackICEの導入している環境に適応させると、BlackICEが"Filter Failed"のイベントを発生してしまいます。この現象に関しては日本語版でのみ発生する現象で、」だそうです。 弱ったもんだな(何が? 1. 里志 2001/08/06(Mon) 21:11:24
どうりでここ数日ZoneAlarmがうるさいわけだ。
1時間で40回とか非常に鬱陶しいですねぇ。 知人もZoneAlarmが計80回以上と嘆いておりましたな…‥
3. おおあめ 2001/08/06(Mon) 21:48:14
さっきからZoneAlarmのバルーンがでまくってます。
はやく退治してくれー。 軽くWebサーバのログを見てみたらばっちり default.ida へのアクセスが大量に(^^;;
なんか微妙に変種らしきものも混ざっているような... サーバ自体はHotfixをはるか昔に適用済みというか それ以前に.idaファイルなんかパースしないようにしてるのでぜんぜん平気ですが(爆) >話は変わりますが
スレッド「3015」とWindows掲示板で既にレポートしてたりする ^^; 因みに最新版は2.5.cpJですが非公開版です。 (米国用SRP対応版を急遽日本語版に入れてもらったんですが、Filter Failed吐いて駄目でした) Port80のプローブですが、家では昨日から一日当たり200件程受けてます、 AT&Tの方はさほど受けないのですがODNの所有しているIPはターゲットに成り易いのかも。 普段では殆ど見られない特定のISPのIPアドレスがIntruderに列挙されてるし、かなり感染している個人サーバが有る様です。 う〜む、うちのファイアウォールにもたくさん引っかかってるなぁ
>CODERED
本日、会社のIISサーバーが全滅しました(激汗 午前中は仕事暇だと思っていたのに・・・。 8. shi 2001/08/06(Mon) 22:50:51
とりあえずIISなんぞ使ってないので感染はしてないけどログが溜まってうっと〜し〜。
現在は「 Code Red II 」だそうだ。 http://www.zdnet.co.jp/news/0108/06/codered_isec.html > Code Red
今日午前3時〜今現在のログを見ると、nothing.sh鯖は242回ログに残ってます(;´Д`) # っても 242/70k と考えれば…まだいいか… >本日、会社のIISサーバーが全滅しました(激汗
私の勤め先はWANのルータがやられました…。CodeRedII侵入が原因らしいと広報がありました。親会社共々、グループ内の通信がずたずただったようです。 逆にメインフレームにもSoralisサーバにも接続できないので、仕事そのものはな〜んも出来ないのですが、NT、2000の端末に片っ端からパッチをあてる作業で大わらわでした。 ネットワークをもがれたオープン系セクションなんて、陸に上がった河童みたいなもんだと、思い知らされました…。 11. BunkerHill 2001/08/07(Tue) 00:51:06
しばらく眺めてからクライアント向けのポート80をルータで
閉めておしまい。さすがにサーバのほうは閉めるわけにもい かないのでログが溜まりまくりですわ。 12. 雷獣王GRIFFON@TPi1124 2001/08/07(Tue) 11:49:19
> Code Red
gwits.net も 200回ほどアクセス有りましたねぇ. ところでこの CodeRed,メモリ感染型ウイルスのようですが,トレンドマイクロでは検査ツールは「無償提供予定ツール」とあって「予定」らしいのですが,なにか検査をするツールってのはあるのでしょうか? Webで探してみても,セキュリティホールを見つけるだけで,本体を見つけてくれるものがないようでしたので・・・. 14. かっぱ 2001/08/07(Tue) 12:32:52
たぶんこれのことですね<見つけてくれるツール
「FixCodeR」 http://www.symantec.com/region/jp/news/year01/010801_1.html 直リンクはこちら↓ http://www.symantec.com/avcenter/fixcodered.zip 無償ツールで、NT系のみらしいです。 15. 雷獣王GRIFFON@TPi1124 2001/08/07(Tue) 12:39:47
かっぱさんどうもです.
しかし当方の環境で実行したところ「脆弱性はない」・・・脆弱性がない? これってまさかやっぱり脆弱性検査?(汗) うーん,謎だ. 16. かっぱ 2001/08/07(Tue) 12:59:21
ありゃ?
こっちでも試してみたところ・・・ 「Your computer does not appear to be vulnerable to the CodeRed worm」 ・・・脆弱性は無い?ありゃ?検知してくれるんじゃ・・・。 ちなみに本文を引用↓ 「FixCodeR」はNTシステム上でCodeRedを検知して駆除するツールで、Webサイトからダウンロードして利用できます。 謎。 17. スプリットJ 2001/08/07(Tue) 18:10:27
BlackJumboDogを起動してプロキシーサーバにしていると、
頻繁に「利用者に登録されていないアドレスからの使用を拒否 します [ 211.xx.xx.xxx ]って言うのがくるんですよね・・・ これもウイルスが原因なのでしょうか?? なんか気持ち悪くて、立ち上げたくないです・・・>BJD っていうか、グローバル側からの有人アタックでは・・??f^^;
家も感染先が無いので試しにPort80開けてみましたが (今は恐いので閉じてます)、サーバのLOGに
[Intruder] - - [08/Aug/2001 23:02:42 +0900] "GET /default.ida?[ここにCode Red特有?の文字列] HTTP/1.0" 404 と言う文字列がズラリと(-_-;) ***一寸修正{23:17]*** うちのマンション専用線が数日前から急に不安定になっちゃいました。
どうやらセキュリティが相当甘かったらしく、CODE REDの影響をモロに受けてます。 復帰は未定だとか。(汗) おかげでPSO落っこちまくって迷惑かけっぱなしだし。 みなさんホントにごめんなさいです〜 >Team DORCOM@本家DC板 |