下の方にアタックがあると言うカキコが有ったので
僭越かなと思いましたが・・・
8月前後から、ネット上をワームが徘徊しています。
coderedwormとcoderedwormU、そして18日より
w32.nimda.A@mmというワームです。
下の方でnomiさんが書かれているとおりです。
anhttpdでは直接問題がありませんが、nimdaに関しては、
感染経路が多数報告されているので、確認が必要です。
nomiさんのページで確認するか、シマンテックなどの
情報を参考にすると良いでしょう。
まぐなさん、
そうですね。CodeRed や Nimda は応答のボディは確認しないでしょう。
はじめましてです。AN HTTPDで自宅サーバ立ち上げさせていただいてます。
それにしたって、とにかくうざい… cmdやらrootやらXXXXXやらMSADCやら…
うざい、うざい、、、うざーーーーい、、、無視するしかないか…(涙)
とりあえず404のメッセージを「お願い、変なもの送らないで…(涙)」って
してみたけど、役に立つかどうか… はぁ…
中田さんお久しぶりです。
nomi's Web Server管理人のnomiです。
私のサイトでウイルス情報&警報を記載して置きました。
◆NIMDAウイルス情報のお知らせ◆
現在、世界中で猛威を振るっているNIMDAウイルスについてお知らせいたします。
本ウイルスは感染経路が非常に多く感染力が高いため注意が必要です。
NIMDAウイルスはメールの添付、IE(InternetExplorer)5.01SP2とIE5.5SP2以外の
IEによるブラウジング、共有フォルダ、IIS経由などから感染します。これらの
経路で感染させられた端末は自己の実行ファイルなどに次々に感染すると共に、
ネットワーク経由で他の端末に感染しようと行動を開始します。
詳しい情報は、
http://www.nominomi.2y.net/
にアクセスして「自宅サーバ開局方法」をご覧下さい。
今のところ、AN HTTPDサーバ運営には支障をきたしておりません。
でもWinでサーバを立ち上げる方は是非参考にして下さい!
ちなみに、AN HTTPDでのサーバ開局方法も記載しています(宣伝ですみません)
きいろさん、
あれを読んで誤解する人がいるとまずいと思ったので、一応断り書きを書きました。
また、なにかありましたらどうぞ。
中田さん、いろいろと丁寧なお返事、ありがとうございます。
logがおかしくなってるわけではないのは分かっていました(^・^)
わたし、、、説明下手ですね。
すいません。
でも、覚えにないlogが出る理由、ここを読んでいて分かりました。
また分からないことがありましたら、のぞきに来ます。
きいろさん、
おわかりでしょうが、別にログが「おかしく」なっているわけではありません。
アクセスの記録を正しくとっているだけです。
(2)ネットワーク共有は、きいろさんがそういう設定をしているかどうか、というより、他の人がきいろさんのPCを共有していると、それを経由してファイルのコピーでやられる可能性がある、という話です。
ドライブやフォルダのプロパティで「共有する」設定にしてあるものがあればそれを「共有しない」にしておけば、この経路の感染は防げると思います。
普通は、会社組織や家庭のLANの中でしかこの共有はしないでしょう。CATVのLANもそんなことはしていないと思います。
しかしこうなると、他の問題もありますし、やはりウイルス対策ソフトおよびパターンを最新版にしておくことが必要でしょう。
HTTPDのログがおかしくなっているのは私だけではなかったのですね。
私もこんな事始めてだったので、どう対処していいか分からず、色々電話をかけまくりました。
VirusScanのサポートセンターと、IPAに回答を求めたのですが、納得いかず、困り果てていたところです。
私の場合はCATVで接続しているので、個人情報が漏れてしまっているかと心配で心配で。
HTTPDの使用方法は、ローカルでテストしているだけなので、LANケーブルを抜いてから、HTTPDを立ち上げるようにしています。
これで大丈夫ですか?
それと、もしよかったら教えてください。
下で中田さんがお話になってる「(2)ネットワーク共有(ネットワークドライブ割り当て?) 」について、
お恥ずかしながら、、、全くなんのことだか訳分からないんです。。。(^^ゞ
意味も分からないし、また、自分がどういう設定にしているのかも分からないんです。
どんなものなんですか?
nimdaウイルスに関してですが、わたしのところにも09/18くらいからログに記録され出しました
ただ、その頻度が昨日から1分に1setは必ずやってくるようになっています
ダイヤルアップなのでいままでこのようなことは記憶にないのですが。。。
Nimda について
既に皆さんから情報が寄せられていますが、
感染経路は
(1)メール
(2)ネットワーク共有(ネットワークドライブ割り当て?)
(3)改竄されたWebページの閲覧
(4)Webサーバへの攻撃
があるようですね。
(4)で感染するのは 未対策のIIS だけでしょう。
(1)〜(3)は自分が IIS を使っているかどうかには関係しませんから、注意が必要ですね。
皆さんはじめまして。
私もANHTTPDサーバ使ってサーバを立ち上げているのですが、
皆さんのいわれてる通り、昨晩からNimdaによるものと思われる
不信なログが記録され続けています。
さらに不幸な事に、アタック元のサーバへウェブブラウザで接続を試みた結果、
見事Nimdaに感染してしまいました。
感染したのはWin98SE+IE5+OutLook2000という環境だったのですが、
何の確認もなしにトロイ入りのメールが開かれてしまった様です。。
IISではないから関係ないなどと思わず、皆さんもお気をつけください。
尚私はYahoo!でNimda情報を得ました。
http://dailynews.yahoo.co.jp/fc/computer/internet_viruses/
夕べから急に、下記のようなログが出始めました。
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 235
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215
"GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
"GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
"GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
〜 〜 〜
他のサイトでも話題になり始めていますが、やはり皆さん昨日からのようです。
2001/07/19 に kitaさんの書き込みがあるように、すでにその頃から出始めているようですが、中田さんが
>GET /scripts/... の方は、cmd.exe の実行を試みたものでしょうが、
>AN HTTPD では無効なリクエストとして 400 エラーを返します。
とRESされているように、影響はないということですね。ボクの使わせていただいている AN HTTPD は1.35b ですが、ご覧の通り、 404エラー(Not Found )を返しています。
NT サーバを狙ったアタックなのでしょうか? UnicodeのBugをついたり、CodeRed IIが開けていった穴をつくもののようだということですが。
世界貿易センターと国防総省へのテロ攻撃後、様々なアタックが盛んになり、テロとの関係を示唆する新種のウイルスが拡大する傾向のようですが、今度のアタックは7月から出回っているなら関係はないのでしょう。
CODERED にしろ、正常なアクセスより、このようなアタックの方がログに目立つのは、すごーく腹立たしいですね。
皆さんどうもありがとうございます。
発信もとのIPへアクセスしたところ、確かに
改ざんが行われ、ソースを見るとjavaスクリプトで
readme.emlを読ますようになってました。
しばらく、つらいですね。
にゃんこさん、tetsuoさん、spiralさん はじめまして。
freedomさんやYUYUさんの発言されている通りだと思います。
この続きについては、
hodogaya.org Web Page さん
http://www.hodogaya.org/
の運用する自宅サーバメーリングリストの512番以降518番
http://www.hodogaya.org/ml/home-server/log/500/512.html
の情報もご参照してください。
特に517番では、
http://www.hodogaya.org/ml/home-server/log/500/517.html
「ブラウザのJavaScript は OFF にしておいた方が無難」
と書いてありますよ。
Nimda とかいうワームらしいです。IIS サーバに感染してcodered とは別の方法で、手当たり次第アタックをしているようです。
さらにWebページも書き換えて JavaScriptでreadme.eml というファイルを自動実行します。
IE5.01 SP1 以下はパッチを当てないとえらいことになるかも。
ダイヤルアップの末端のパソコンなのに、最近は Codered は来るわいろんなアタックがあって大変です。IISは使わないので感染はしませんけど。
これらのせいで、ネットのトラフィックがかなり増えてるのでは?
http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
http://www.microsoft.com/JAPAN/support/kb/articles/JP290/1/08.htm
http://memo.st.ryukoku.ac.jp/archive/200109.month/thread.html
僕もtetsuoさんと同じログを見ましたが、これって、CodeRed2のバックドアを開く試行ではないでしょうか?
ログのエラー番号を見る限り、成功しているとは思えません。
もしかして、CodeBlueなのでしょうか?(^^;
あらゆる意味で、早く静かになって欲しいものです。
当方も昨日より、tetsuo さんと同じようなログが記録されるようになりました。
かなりヒドイです。
問題ないでしょうか?
どうも、横からすみません。僕もにゃんこサンと同じように
61.76.233.13 - - [18/Sep/2001:22:44:20 +0900] "GET /scripts/root.exe HTTP/1.0" 401 313などという、エラーがhttpd.logに記載されています。
61.76.233.13 - - [18/Sep/2001:22:44:25 +0900] "GET /MSADC/root.exe HTTP/1.0" 401 313
61.76.233.13 - - [18/Sep/2001:22:44:30 +0900] "GET /c/winnt/system32/cmd.exe HTTP/1.0" 401 313
61.76.233.13 - - [18/Sep/2001:22:44:37 +0900] "GET /d/winnt/system32/cmd.exe HTTP/1.0" 401 313
61.76.233.13 - - [18/Sep/2001:22:44:42 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
61.76.233.13 - - [18/Sep/2001:22:44:47 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
61.76.233.13 - - [18/Sep/2001:22:44:52 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
再度すみません.
httpd.logはあリませんと書きましたが
どんどん記録されていました.
例
xx.xx.xxx.xx - - [18/Sep/2001:23:26:48 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215
こういうのが続けて六回など…
xxxは念のため伏せておきます。
よろしくコメントくださいませ。
次はCodeRedとは違うエラーでしょうか?
同じように考えてよいでしょうか。
Tue Sep 18 22:32:42 2001 Error Response 404 Thread 0(ID= -1751171) for "/scripts/root.exe"httpd.logの記録はありません。
Tue Sep 18 22:32:44 2001 Error Response 404 Thread 0(ID= -1751171) for "/MSADC/root.exe"
Tue Sep 18 22:32:45 2001 Error Response 404 Thread 0(ID= -1751171) for "/c/winnt/system32/cmd.exe"