[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03723] Re: code red

To: connect24h@xxxxxxxxxxxxxxxxxxxx
Subject: [connect24h:03723] Re: code red
From: Tatsushi Okamoto <tatsushi-o@xxxxxxxxxxxxx>
Date: Sun, 05 Aug 2001 01:54:07 +0900


At 01:24 01/08/05 +0900, you wrote:

>CodeRed ですが、リクエストに NNNN が並んでいるのを「タイプN」、
>XXXX が並んでいるのを「タイプX」とすると、私のところにくる
>アクセスは、いまでは タイプX ばかりになっています。
>
>パケットをダンプした人によると、タイプN とタイプX では、
>内容が大幅に違っているという事です。
>
>「国内は問題無し」なんて話や「前回に比べて被害は少ないはず」
>なんてニュースでやってたけど、plala の個人(?)サーバも感染し
>ているし、私のサーバには２日間に 100 以上も CodeRed 攻撃が
>きた。
ODNのフレッツISDNでつないでますが、今現在5分に1匹以上きてます。
ほとんどがタイプX。
アクセスもとのIPでどんなページ公開してるかみてみると、
IEで開くなりNortonが警告を発したものがありました。
Backdoor.Sadmind.Drなるウィルスをダウンロードしようとするようです。
これってSolarisを踏み台にしてIISに感染し、index.htmlを書き換えるやつですね。

なんだか、ほったらかしにして多重感染するサーバのいい見本になってましたが。

*---------------------------------*
   岡本辰志
   tatsushi-o@xxxxxxxxxxxxx
*---------------------------------*



------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

References:
- [connect24h:03719] code red
  - From: Toyohisa 'TOY' Shiomi
- [connect24h:03718] Re: 意外な犯人
  - From: naoto HOMMA
- [connect24h:03720] Re: code red
  - From: syun

Prev by Date: [connect24h:03722] Re: code red
Next by Date: [connect24h:03724] Re: code red
Previous by thread: [connect24h:03747] Re: code red
Next by thread: [connect24h:03726] Re: code red
Index(es):
- Date
- Thread