[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00735] Re: new Worm?

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00735] Re: new Worm?
From: Shin SHIRAHATA <shin@xxxxxxxxxx>
Date: Sun, 05 Aug 2001 17:54:06 +0900



しらはたです。

> > 667ホストのうち、23ホストは203以外で始まるIPアドレスブロックから
> > アクセスがありました。Netcraftで調べると、ほとんどはWindows 2000
> > からようです。
> 
> 調べられた23ホストのhttp access log はXXXでしたか？

はい。XXX...タイプでした。

ただ、アクセス元のサイトでMS ISA-Serverなどを動かしていて、トランス
ペアレント・プロキシをやっていて、本当にやられたマシンは同じクラスAの
アドレスブロックにあるというケースも考られますが..。

[**] WEB-IIS ISAPI .ida attempt [**]
08/05-11:39:07.569233 0:1:64:A3:EC:40 -> 0:A0:CC:73:38:89 type:0x800 len:0x236
61.144.175.118:2714 -> 203.178.*.*:80 TCP TTL:110 TOS:0x0 ID:57230
IpLen:20 D
gmLen:552 DF
***A**** Seq: 0x7045C9A  Ack: 0x346BD1BE  Win: 0x4000  TcpLen: 20
47 45 54 20 2F 64 65 66 61 75 6C 74 2E 69 64 61  GET /default.ida
3F 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58  ?XXXXXXXXXXXXXXX
58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58  XXXXXXXXXXXXXXXX

---
KEIO University / WIDE Project - School on Internet
白畑 真 <true@xxxxxxxxxxxxxx>
http://www.sfc.wide.ad.jp/~true/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

Follow-Ups:
- [stalk:00736] Re: new Worm?
  - From: Minoru Hagiyama

References:
- [stalk:00732] Re: new Worm?
  - From: Shin SHIRAHATA
- [stalk:00733] Re: new Worm?
  - From: Minoru Hagiyama

Prev by Date: [stalk:00734] Re: new Worm?
Next by Date: [stalk:00736] Re: new Worm?
Previous by thread: [stalk:00733] Re: new Worm?
Next by thread: [stalk:00736] Re: new Worm?
Index(es):
- Date
- Thread