[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00702] Re: CodeRedWorm



こんばんは、Port139 伊原です。

On Thu, 2 Aug 2001 16:21:21 +0900
古賀久司 <hisashi-koga@xxxxxxxxxxxx> wrote:

>ログ上は「default.ida....」にステータス200を返してるんですが、

えーと、試しに http://サーバ名/default.idq でブラウザから要求
すると

IDQ ファイル c:\inetpub\wwwroot\default.ida が見つかりませんでした。 

とかいうメッセージがでませんか?
Sp なしの状態だとコンテンツのパスが漏洩する問題があるんですが、
いずれにせよ、上記に似たメッセージが 200 で戻っていると予想さ
れます。
.ida とか .idq マッピングを削除していればこれもエラーで戻るよ
うになるはずです。

>サーバー上では特に障害が発生しているように見えなかった
>(というか、見つけられなかった?)ので、MLで聞いてみました(^^;

調べるべきポイントとしてはたぶん、

  -不審なプロセスが起動されていたり通信がないか
  -ファイルが増えたり変更/削除されていないか
  -イベントログに記憶にないログオンイベントや監査失敗がないか
  -知らないサービスやドライバが増えていないか
  -スタートアップに不審なプログラムが登録されていないか
  -知らないアカウントが増えたりしていないか

なんてところを確認になるかと思います。
ただ、いずれの作業を行うにもシステムの正常な状態でのデータが
ない場合には同一の環境を構築して比較作業をしていくということ
をやる必要があると思います。

#来月号の日経バイトを読むと参考になるかも〜

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
 10MB!?  くれるんすか??  フリーメールなのにぃぃ???   
http://email.infoseek.co.jp/info/email_info.html?svx=971122