[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00744] Re: [FYI] Re: new Worm?
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:00744] Re: [FYI] Re: new Worm?
- From: MICKY <micky@xxxxxxxxx>
- Date: Mon, 06 Aug 2001 10:20:15 +0900
犬のみっきーです。
A.D.2000他で疲れ果てて出遅れました。
さて、CodeRedですが、ボクんトコのネットワーク 13x.*.*.*/16 では
、だんだんIIの方が多くなってきました。
シグネチャがアレなので、アテにできるか自信ないけど。1分間でこ
れじゃ、ほとんどDoS。いいかげんヤメてくれ。IDS運用に支障が出る
。
Aug 6 10:13:01 snort: CodeRed Worm Requested:
Aug 6 10:13:01 snort: CodeRed Worm II Requested:
Aug 6 10:13:10 snort: CodeRed Worm II Requested:
Aug 6 10:13:11 snort: CodeRed Worm Requested:
Aug 6 10:13:18 snort: CodeRed Worm II Requested:
Aug 6 10:13:22 snort: CodeRed Worm Requested:
Aug 6 10:13:28 snort: CodeRed Worm II Requested:
Aug 6 10:13:29 snort: CodeRed Worm II Requested:
Aug 6 10:13:31 snort: CodeRed Worm Requested:
Aug 6 10:13:35 snort: CodeRed Worm II Requested:
Aug 6 10:13:38 snort: CodeRed Worm Requested:
Aug 6 10:13:38 snort: CodeRed Worm II Requested:
Aug 6 10:13:52 snort: CodeRed Worm Requested:
ちなみにシグネチャはこんなカンジ。
alert tcp any any -> any 80 (msg: "CodeRed Worm II Requested"; content: "/default.ida?XXXXXXXXXXXXXXXXXXX"; flags: A+;)
alert tcp any any -> any 80 (msg: "CodeRed Worm Requested"; content: "/default.ida?NNNNNNNNNNNNNNNNNNN"; flags: A+;)
>----- みっきーのネットワーク研究所 -----<
> http://www.hawkeye.ac/micky <
> 所長:犬のみっきー <micky@xxxxxxxxx> <
>----------------------------------------<
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
インフォシークに 『ファンドランキング』登場!! ってなに?
http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122