[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00721] Re: new Worm?

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00721] Re: new Worm?
From: Minoru Hagiyama <hagiyama@xxxxxxxxxx>
Date: Sat, 04 Aug 2001 22:14:32 +0900



はぎやまです。

Shin SHIRAHATAさん wrote:

> 今日(8/4)の午後8時過ぎから、複数のホストから不特定多数の
> Webサーバに対して、以下のようなパケットが多数送られています。
> sadmind/IIS Wormのような気もするのですが、Webサーバーに
> 残っているログ
> 
> [Sat Aug  4 20:28:47 2001] [error] [client ::ffff:203.251.6.171] File does not exist:
> /htdocs/default.ida

Apacheの[DocumentRoot]/default.idaのこのようなログは、初期の
“Code Red”Wormで記録されます。error_logよりaccess_logをご覧
ください、一目瞭然です。

こんな感じです。
211.xxx.156.20 - - [04/Aug/2001:22:09:44 +0900] "GET /default.ida?XXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u
531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 205

# 19時40分ころから、211.*.*.*のKR方面で上記タイプの感染が始ま
# り、現在2分に1回の割合で来ています。

-- 
                                   　　　萩 山  実
                                         hagiyama@xxxxxxxxxx
                                  http://www.arsp.ne.jp/gw2/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

Follow-Ups:
- [stalk:00722] Re: new Worm?
  - From: Shin SHIRAHATA
- [stalk:00723] Re: new Worm?
  - From: Minoru Hagiyama

References:
- [stalk:00719] new Worm?
  - From: Shin SHIRAHATA

Prev by Date: [stalk:00720] Re: new Worm?
Next by Date: [stalk:00722] Re: new Worm?
Previous by thread: [stalk:00720] Re: new Worm?
Next by thread: [stalk:00722] Re: new Worm?
Index(es):
- Date
- Thread