[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02685] Re: CodeRed II
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02685] Re: CodeRed II
- From: syun <syun@xxxxxxx>
- Date: Wed, 12 Mar 2003 22:31:40 +0900
syun@自己レスです。
私がCodeRed.Fだと思って捕獲したパケットは、http://www.ebcvg.com/
からダウンロードできるCodeRedIIのパケットとかなりそっくりです。
サイズも同じです。
比較すると、微妙に違うところがありますが、
●私の捕獲したパケット
http://www.baba-lab.com/12MAR2003/CodeRedF.txt
この中のここ:
00000300 0f b7 85 3c fe ff ff 3d 88 88 00 00 73 cf 0f b7
●http://www.ebcvg.com/のCodeRedIIを od でダンプしたもの
http://www.baba-lab.com/12MAR2003/Codered2.txt
この中のここ:
0001400 0f b7 85 3c fe ff ff 3d d2 07 00 00 73 cf 0f b7
このように、4バイト違うだけです。
# 詳しい分析は専門家にまかせます。
ということで、誰か既知のワームをいたずらで撒いたのでは
ないでしょうか。
# もし全然違うパケットを捕獲された方がいましたら
# 見せて頂けませんか。
なお、再現実験ですが、客先の設備で実験出来ました。
●攻撃コード
http://www.baba-lab.com/12MAR2003/CodeRedF.c
●攻撃を受けてIISが暴れる様子
http://www.baba-lab.com/12MAR2003/CodeRedF.png
172.16.0.1(Linux)から、172.16.0.200(Windows2000)を攻撃。
>ところで、CodeRed.Fの再現コードを作ったのですが、まわりに
>適当なIISが無くて試せません(最近は会社にいかずに客先にい
>りびたり)。
>
>FreeBSDまたはLinuxで動くんですけど、どなたか検証して
>くれる親切な方はいませんか。