[01/08/10 07:41] ログに見慣れないアクセスがあるが何か？

AN HTTPD ゲストブック/コメント集(2001年8月10日07:41)

さとし satosi@mx3.tiki.ne.jp 2001/08/13 08:03

中田さん、氷音さんありがとうございました。見えるようになりました。

中田昭雄 nakata@st.rim.or.jp 2001/08/12 16:48

さとしさん、
http://xxx.xxx.xxx:81/ というふうに :81 と指定していますか？
ルータやファイアウォールソフトを使っているなら、そちらも設定を変えなければいけませんが。

中田昭雄 nakata@st.rim.or.jp 2001/08/12 16:47

☆あまのっちさん、
そのリクエストでバッファオーバーフローを起こさなければ他に感染しようとはしないのですから、もちろん他人に迷惑をかけることはありません。

CodeRed は Microsoft の IIS の弱点をつくようにできているので、AN HTTPD はそれに対しては大丈夫というだけで、AN HTTPD がすべての攻撃に耐性があるというわけではありません。

氷音 hinekuremon@yahoo.co.jp 2001/08/12 16:46

さとしさん、ポートを81に変更したら自分もアクセスできなくなりました、とありますが
ポート80以外からアクセスするときは、
使用するポート　81　でしたら、IPの後ろに:81をつけなければならないはず。
例　http://245.454.112.15:81/~hine/
のようにすればアクセスできます。ワームは別に気にしなくてもいいと思うので80のままでよいのでは？

さとし satosi@mx3.tiki.ne.jp 2001/08/12 11:26

ポートを81に変更したらワームもこなくなりましたが、自分もアクセスできなくなりました。どうすればベスト？？？

さとし satosi@mx3.tiki.ne.jp 2001/08/12 01:52

どうもありがとうございました。
これからもよろしくお願いします。

☆あまのっち hashi@junichi55.homeip.net 2001/08/11 20:01

(´．｀)＝3安心しました。
かなり心配しましたが、CODERED の攻撃を受けても、AN HTTPD は大丈夫だと知り、
安心しました。他人にも迷惑かけないですよね？
トロイもスキャンしましたが、仕掛けられていないようです。
ログが、すごいことになっていましたので、（例の GET /DEFAULT.IDA?NNNN．．．）
しばらくログは控えようと思いますが、セキュリティ洗い直しは、急務のようです。
ZONEALARM はダウンロードしました。まじ？こんなにアクセスしてたの？って思いました。東陽テクニカのBLACK ICE体験版は全てのポートを閉じてしまい、誰もアクセスできなくなり、悪いことをしました・・(^^;　とにかくAN HTTPDには、そんな侵入にも負けない魅力がありますね・・。

中田昭雄 nakata@st.rim.or.jp 2001/08/11 17:59

さとしさん、
JPCERTの文章を読んでもわかりにくいでしょうね。
AN HTTPD はこの CodeRed の攻撃で侵入されることはありえません。

過去ログ（「過去」といっても最近のものですが。。）
http://homepage1.nifty.com/yito/namazu/gbook/20010719.2347.html
http://homepage1.nifty.com/yito/namazu/gbook/20010805.2102.html
などを読んでみてください。

Microsoft の Webサーバ IIS を使っていない限り、 CodeRed, CodeRedII による直接の被害は受けません。

さとし satosi@mx3.tiki.ne.jp 2001/08/11 16:04

なかおさんありがとうございました。
侵入されたかどうかはこのログでわかるのでしょうか？

210.78.153.131 - - [10/Aug/2001:23:53:42 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215

さとし satosi@mx3.tiki.ne.jp 2001/08/10 09:11

ありがとうございました。いってみます

なかお none 2001/08/10 08:27

CodeRed2ですよ

Microsoft IIS の脆弱性を使って伝播するワーム "CodeRed II"
http://www.jpcert.or.jp/at/2001/at010020.txt

さとし satosi@mx3.tiki.nejp 2001/08/10 07:41

ログの中にこのようなものがあります。なんでしょうか？

210.58.36.45 - - [10/Aug/2001:00:22:20 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215 
210.212.20.36 - - [10/Aug/2001:00:25:48 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215 
210.243.193.154 - - [10/Aug/2001:00:29:50 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215