[stalk:00766] CodeRed, CodeRedII 対策

[Jaco <jaco@xxxxxxxxxxxx>]

 締め切り間近！〜楽天市場がおくるこの夏のビッグチャンス「友達でポン！」
 ┏━┳━┳━┳━┳━┳━┳━┳━┓　■■８月１０日までの大チャンス■■
 ┃毎┃日┃１┃０┃０┃万┃円┃！┃お友達とペアになるだけで当たっちゃう
 ┗━┻━┻━┻━┻━┻━┻━┻━┛　　　　　★１００万円★
 今すぐ参加→ http://www.rakupita.ne.jp/ 
------------------------------------------------------------------------


　久保井と申します。
　
　セキュリティー関連のMLを探してたどり着きました。　よろしくお願
いします。

　CodeRed, CodeRedII の影響で、某大手メーカー系の関連会社のネッ
トワークを接続している部署から、IIS のセキュリティー対策がすべて
完了するまで、親会社社内への 80 番ポートを閉じると言う通告がなさ
れ、徹夜で対策をしたのですが、私の会社では感染していたマシンは１
台も無く、/default.ida のログも残っていません。

　一般的な F/W を構成していれば、CodeRedII のパケットが内部に入
り込んでトラフィックが増し、結果的に DoS 攻撃状態にはならないと
思うのですが、ネットワークを接続している部署からは、そのような状
態になったので切断すると言う説明でした。

　もし、そのような状態になったのなら、アプリケーション・ゲートウ
エイ型 F/W であれば、
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
　のようなパケットは一時的に遮断するようなことも出来るのではない
かと思うのですがいかがでしょうか？

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　　☆え？！まだ終電、間に合うの！！！　　　　　　　　
 http://transfer.infoseek.co.jp/Trlast?pg=tr_last_top.html&svx=971122