投稿日:2004年05月29日 作成鷹の巣

No.16215 何のウィルス攻撃のアクセスログでしょう?



何のウィルス攻撃のアクセスログでしょう?

No.16215 投稿時間:2004年05月29日(Sat) 14:56 投稿者名:Ryokucchi URL:http://ryokucchi.no-ip.com/

以前ここの掲示板に鯛(たい)さんが「ワームが残すアクセスログのサンプル」を
投稿してくださったので、コピーして利用させて頂いています。m(_ _)m

自宅サーバのアクセスログはいつも Circle さんの ApacheLogViewer
http://home.ns01.info/circle/
を利用させて頂いています。
最近windowsXPでも異常終了しないバージョンが公開されました。
http://home.ns01.info/circle/ApacheLogViewer/bbs.cgi?msg=107
サポートBBSから ApacheLogViewer-2.8.4-b2 がDLできます。

下記アドレスにアップしましたログ画像は、nimda に感染している方と
思えるのですが、そう考えてよいでしょうか。
http://ryokucchi.no-ip.com/img/a/accesslog1.gif

また、下記アドレスの画像も nimda 系列の何かに感染してらっしゃる
方のように思えるのですが、ちょっと user agent が普通と違うので気になります。
http://ryokucchi.no-ip.com/img/a/accesslog2.gif

我が家は FreeBSD なので被害はないのですが、その方が知人の知人で
あるだけに、お知らせするべきか迷っています。
何かご存知の方がおられましたら、情報よろしくお願い致します。m(_ _)m

もうひとつ、web サイトの更新などをチェックするソフトで、WWWC とか、
Website Explorer と言ったものがあるようですが、最近このソフトを利用
されている方から、30分間に1000 近いアクセスを受けました。幸い知人でした
ので、連絡してストップして頂きましたが、このようなソフトで実害を受けた方
はいらっしゃるでしょうか。もしいらっしゃいましたら、情報をよろしくお願い
致します。m(_ _)m


不思議なことに。。。ご報告

No.16223 投稿時間:2004年05月29日(Sat) 22:36 投稿者名:げた URL:

このスレッドに直接は関係ないのですが、なぜかRyokucchiさんのcookieがこの掲示板に表示されていました。
この掲示板に、2文字のパスワードを設定していますよね。
なぜかそのパスワードがこのcgiで表示されています。
どのスレッドにも「おなまえ」にはRyokichiさんの名前が。参照先には、ryokichiさんのurlが
パスワードには、2文字のパスワードが設定されています。
何か、感染しているっぽいですね。


他にそのような方がおられますか

No.16227 投稿時間:2004年05月30日(Sun) 01:01 投稿者名:Ryokucchi URL:http://ryokucchi.no-ip.com/

> このスレッドに直接は関係ないのですが、なぜかRyokucchiさんのcookieがこの掲示板に表示されていました。
> この掲示板に、2文字のパスワードを設定していますよね。
> なぜかそのパスワードがこのcgiで表示されています。
> どのスレッドにも「おなまえ」にはRyokichiさんの名前が。参照先には、ryokichiさんのurlが
> パスワードには、2文字のパスワードが設定されています。
> 何か、感染しているっぽいですね。

そうですか、鷹の巣さんのこのBBSに投稿しているのは Windows98 ですが、
ほぼ毎日(25、26、27、29日)のように全領域のウィルススキャンをしていまして、
今もやってみましたが、ウィルスは検出されませんでした。

他にもげたさんと同じような現象がおきている方はおられますか。


Virus でないことが分かりました

No.16237 投稿時間:2004年05月30日(Sun) 20:54 投稿者名:Ryokucchi URL:http://ryokucchi.no-ip.com/

Virus のログでないことが分かりました。
関心をお持ちの方は、
/_vti_bin/owssvr.dll
/_vti_bin/shtml.exe/_vti_rpc
の語句で検索してみてください。


|目次|掲示板|過去ログ目次|▲頁先頭|