投稿日:2003年03月12日 作成鷹の巣

No.8923 Code Red 最猛威、皆さんのところではどうでしょう?



Code Red 最猛威、皆さんのところではどうでしょう?

No.8923 投稿時間:2003年03月12日(Wed) 23:50 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

数日前から、Code Red がよく飛んできます。
普段は1日1件、来るかこないか程度でしたが、

3/9(日)3件、3/10(月)4件、3/11(火)2件、3/12(水)45件

です。今日は 45 件も貰ってしまいました。
数日前は初期型 Code Red でしたが、今日はすべて Code Red II です。

何かあったのかな?たまたまかな?
セキュリティサイトには何も警告は出ていませんが、皆さんのところではどうでしょう?


新型亜種?

No.8924 投稿時間:2003年03月13日(Thu) 00:33 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

> 3/9(日)3件、3/10(月)4件、3/11(火)2件、3/12(水)45件
>
> です。今日は 45 件も貰ってしまいました。
> 数日前は初期型 Code Red でしたが、今日はすべて Code Red II です。
>
> 何かあったのかな?たまたまかな?
> セキュリティサイトには何も警告は出ていませんが、皆さんのところではどうでしょう?
たしかにその日当たりからHTTP_IIS_ISAPI_Extensionと言う警告ログが急に増えましたね。
新型亜種でもでたか?


まさにこれのようですね。

No.8925 投稿時間:2003年03月13日(Thu) 01:53 投稿者名:Iwa URL:http://moranet.infoseek.livedoor.com/

まさにこれのようですね。
http://www.zdnet.co.jp/enterprise/0303/12/epn07.html


ほほう。亜種ですか。

No.8926 投稿時間:2003年03月13日(Thu) 02:12 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

> まさにこれのようですね。
> http://www.zdnet.co.jp/enterprise/0303/12/epn07.html

亜種ですか。
タイトルの「帰ってきた…」は、なかなかセンスありますね。うんざり感が少し和らぎました。

「既に発表されているパッチで対応できる」ということは…
感染源は、Code Red II のパッチすら当てていないんですね。何をやってるんでしょうかね。まったく。何もやってない?


普通のプロバイダー、特にYBBから結構来ます。

No.8927 投稿時間:2003年03月13日(Thu) 02:37 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

> 「既に発表されているパッチで対応できる」ということは…
> 感染源は、Code Red II のパッチすら当てていないんですね。何をやってるんでしょうかね。まったく。何もやってない?
普通のプロバイダー、特にYBBから結構くるので
しらないうちにIISを入れてしまっているか
こういう事に疎い方が手軽さからIISを使ってサーバーでも立ててるんでしょう。

対策取らないなら立てるなと...
================================================
ApacheやPHPでも未だに穴あきの古いバージョン使ってるところあるけど
差分パッチでも当ててるんだろうか...


うちのログを見たところ...。

No.8928 投稿時間:2003年03月13日(Thu) 02:54 投稿者名:オモシロ※※館館長「影」 URL:

うちのログを見たところ
9日1件
10日4件
11日2件
12日24件
でした

ちなみに鯖はAnHTTPDで
すべて404を返していました


ログが2種類ありますが...

No.8933 投稿時間:2003年03月13日(Thu) 15:53 投稿者名:りょうパパ2号 URL:http://ryo-papa-2nd.dyndns.org/

うちのログも凄いです。9日1件、10日2件、11日9件、12日32件。
11日の20時頃を境にNNNがXXX(以下のメッセージ)に変わってますけどどちらもCodeRedですか?
それからエラーはそれぞれ400と404を返してると考えてよいのですよね?(Linux8、Apache2.0です)

- - [11/Mar/2003:17:55:00 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 309 "-" "-"

- - [11/Mar/2003:20:33:05 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 1040 "-" "-"


CodeRedIとCodeRedIIで残していくログが違うため二種類になります。

No.8935 投稿時間:2003年03月13日(Thu) 16:49 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

全文割愛させていただきます。
CodeRedIとCodeRedIIで残していくログが違うため
二種類になります。
CodeRed I:Nの羅列
CodeRed II:Xの羅列
また亜種もどちらかを継承する形になっています。
どうせ作るなら英文メッセージにしてみろと...


当面は続くのかなぁ…

No.8948 投稿時間:2003年03月13日(Thu) 21:13 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

また今日も、多数貰っています。現時刻の段階で、50 件を越えています。
普段 Nimda さえ来ない箇所からも来ているので、当面はこの状態が続くのかもしれませんね。

今回は、XXX が新種の Code Red. F だそうです。
そういえば、Code Red II の原種は、既に活動停止しましたからね。
久しぶりに XXX を見たときは、さすがに不思議に思いました。


|目次|掲示板|過去ログ目次|▲頁先頭|