[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00859] Re: IIS 以外から CodeRedI I?
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:00859] Re: IIS 以外から CodeRedI I?
- From: hamamoto <r00t@xxxxxxxxxxx>
- Date: Sun, 02 Sep 2001 09:58:42 +0900
はまもとです。
> 辰巳です。
>
> ご指摘ありがとうございます>はまもとさん
> 今 SP6a とパッチを落としていますので、明日適用します。
パッチをあててなかったんですか?(^^;;)
そりゃ、感染しますって。
SP6aとパッチだけじゃだめです。作業手順をちゃんと確認してセキュリティ
対策をしましょう。
作業手順
http://www.microsoft.com/japan/technet/security/codeptch.asp
安全な Web サーバー運営のための最適なセキュリティの実践
http://www.microsoft.com/japan/technet/security/seclist.asp
参考
http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
http://www.microsoft.com/japan/technet/security/codealrt.asp
> 確認なのですが、Internetからの接続要求を(port 80を含め)すべてdropして
> いるか IISが動いていない場合には Internetからの再感染は起こらないと
> 思うのですが、Code Red IIの場合は違うのでしょうか?
> それともこの場合はマシンにすでに落ちているCode Redが(IISなしで)
> 再度動作しているのでしょうか?
IISが動いていないのなら、感染しないと思いますが。。。が、サービスを
止める前に感染していたのなら、感染している可能性があると思います。
CodeRedI,IIはリブートすると、CodeRedそのものの感染からは逃れられますが、
CodeRedIIだと、Backdoorが残ったままになります。
上記IPAのサイトなどを見て、ちゃんと対策をしましょうね。
+---------------------------------------------------------------------
| はまもと
| ■セキュリティスタジアム 2001 ボランティア募集
| http://sec-stadium.hawkeye.ac/
| ■常時接続の宴(インターネット常時接続ニュースサイト)
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html
+----------------------------------------------------------------------
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
結婚、転勤、気分転換、ライフスタイルはここから変えよう・・・。
⇒ http://house.infoseek.co.jp/House/top?svx=971122