[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00731] Re: new Worm?

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00731] Re: new Worm?
From: Minoru Hagiyama <hagiyama@xxxxxxxxxx>
Date: Sun, 05 Aug 2001 14:21:49 +0900



はぎやまです。

FYI
CodeRedIIの宿主は“Solaris”...

Minoru Hagiyama wrote:

> “Code Red”の攻撃パターンは、ランダムなIPアドレスに対して行われ
> ると思いました。7/20,8/2以降のNNN..のタイプのログからもこの傾向
> は間違っていないと考えていますが、少し調べてみます。

CodeRedIIに感染したIISは、自ホストのAクラスIPアドレスに対してスキ
ャンし、攻撃しますが、異なるAクラスアドレスへは攻撃しないと考えられ
ます。しかし、これを超えて攻撃してくるホストが３つありました。以下は
そのホストからのaccess logとhttp://uptime.netcraft.com/up/graph/
で検索したホストの結果です。(1サンプルは不明）

210.117.67.217 - - [05/Aug/2001:02:46:11 +0900] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 205

OS, Web Server and Hosting History for 210.117.67.217
OS Server Last changed IP address Netblock Owner
Solaris unknown 5-Aug-2001 210.117.67.217  KRNIC
Solaris unknown 21-Jun-2001 210.117.67.217  Thrunet Co., Ltd

210.117.67.216 - - [05/Aug/2001:05:34:57 +0900] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u
531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 205
OS, Web Server and Hosting History for 210.117.67.216
OS Server Last changed IP address Netblock Owner
Solaris unknown 5-Aug-2001 210.117.67.216  KRNIC

CodeRedIIの宿主は“Solaris”と思われます。個々の感染したIIS
ホストの対応も必要ですが、宿主を最初に止める必要がありそうです。

-- 
                                   　　　萩 山  実
                                         hagiyama@xxxxxxxxxx
                                  http://www.arsp.ne.jp/gw2/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

Follow-Ups:
- [stalk:00732] Re: new Worm?
  - From: Shin SHIRAHATA
- [stalk:00734] Re: new Worm?
  - From: IHA Yasushi

References:
- [stalk:00721] Re: new Worm?
  - From: Minoru Hagiyama
- [stalk:00723] Re: new Worm?
  - From: Minoru Hagiyama
- [stalk:00724] Re: new Worm?
  - From: Shin SHIRAHATA
- [stalk:00726] Re: new Worm?
  - From: Minoru Hagiyama

Prev by Date: [stalk:00730] Re: new Worm?
Next by Date: [stalk:00732] Re: new Worm?
Previous by thread: [stalk:00730] Re: new Worm?
Next by thread: [stalk:00732] Re: new Worm?
Index(es):
- Date
- Thread