[02/10/25 23:59] Nimdaのアタックの後でPCが再起動することがある

AN HTTPD ゲストブック/コメント集(2002年10月25日23:59)

スキャもんすみません、お許し下さい。 2002/11/25 23:01

中田さん、imamuraさんにご教授を頂きながらお返事が大変遅くなってしまってすみませんでした。
m(_ _;)m
まず、私の中で最重要な「再起動」について中田さんのご指示通り調べてみました。
(1)どのような時に起きたのか?
実は「リモートアシスタンス」と「XPのファイアウォール」の設定をして無かった為、11/17に設定しました。(前者は存在自体知りませんでした)
(-_-;)ゞ
その後、「再起動」は無くなりましたが"妙"に思う事がありましたので監視しながら運用してましたら11/21に
[Generic Host Process for Win32 Services(\WINDOWS\system32\svchost.exe)]
の動作許可を忘れていたら"Hit"しました。
その時のログは全て出て無い…と言うよりも消されている様な上に、セッション?(通信)は私のPCからという事でF.W.のダイアログが出てました。
(2)何を試したのか?
とりあえず、上記の動作許可をして再び運用しその後確認しましたら、1時間後位にO.E.が起動されてた事もわかりました。
その時、画面にはO.E.が起動したまま放置されていましたがO.E.・Messengerとも動作禁止にしてましたのでその旨のダイアログが表示されてました。
ちなみにセッション・ログ共に上記同様でした。
そして、その確認直後から今まで
[Generic … = 許可](本当は禁止したいのですが、リモートホストが…。)
[I.E.・O.E.・Messenger = 禁止]
で運用しましたら、何も無いどころかタクスバー上から[AN HTTP]が消えました。
(アクセスが無ければ、これが当然(正常)なのでしょうが今まで消えた記憶が無いので…)
d=(^_^)=b
(3)Nimda のアクセスがあった時?
上記の様な状態でわかりませんが、11/18に偶然1回でてますし…関連性はかなり低いかも…です。
(^_^;)ゞ

やはり、この件は[AN HTTPだから]というのでは無く[サーバソフトを運用してたから]という事の様で、ほとんど関係無い事での長文&ご迷惑をお掛けして本当に申し訳御座いませんでした。
m(T_T)m

中田昭雄 nakata@st.rim.or.jp 2002/11/20 20:45

スキャもんさん、
「再起動」については、どのような時に起きたのか、そして何を試したのかを説明してくれないとなんともわかりません。　少なくともルータに Nimda のアクセスがあった時ではないのですよね？

スキャもんすみません、お許し下さい。 2002/11/18 16:02

いつもご迷惑をお掛けしてすみません。m(_ _)m
実はあの後また[再起動]があり、色々試してみましたが…？です。(; ;)

中田昭雄 nakata@st.rim.or.jp 2002/11/13 21:12

スキャもんさん、
いやルータで止まっているのならもちろんそれでかまいません。
出たとしても止めようと思わなくていい、という意味で、出ないのならそれでいいわけです。
ルータのくるのを止めようと思わないでください、という意味でもあります。

スキャもんすみません、お許し下さい。 2002/11/13 02:53

中田さん、いつも丁寧なコメントを頂いて申し訳御座いません。
m(_ _)m
あの件についていとさんの所で検索させて頂き大体の事情がわかりました。
ところで中田さんのコメントに「それを止めようとなどと思わないでくださいね。」とありましたが、止まってると不味いのでしょうか？
というのも今、何故かAN HTTP・ファイアウォールソフト共にその類のlogがほぼ出て無いんです。
(<ほぼ>といってもerrors.logに1行だけで、後は正常なものです)
ただし、ルータのlogを見ると平均して1分間に1～2件、多い時で1分間に20件前後(1秒間に十数件)のアクセスがある様なのですが、PC迄来て無い様なので「ま、いいか」と思ってるのですが…。
(-_-;)ゞ

中田昭雄 nakata@st.rim.or.jp 2002/11/09 07:09

スキャもんさん、
errors.log は気にしないで下さい。
携帯側（アクセスする側）で途中で読み込みを中止したのだと思います。
再起動など変なことがなくなったのなら、当面 errors.log の中は気にしないでいいでしょう。　
もちろん Nimda のアクセスの記録もたくさん出てきますが、それを止めようとなどと思わないでくださいね。

Nimdaについては、ここの過去ログ検索
http://homepage1.nifty.com/yito/namazu/
で Nimda で検索して一通り読んでみてください。

スキャもんすみません、お許し下さい。 2002/11/07 23:43

中田さんに早速のご回答を頂きながら、お礼が遅れてすみませんでした。
m(_ _)m
実はあの後、明らかな不正アクセス(？)がありましたので私なりの原因追及＆PC・ルータ共に初期化＆設定をしてて今、やっとこちらにアクセス出来ました。
(＾_＾;)ゞ
ちなみに原因はWindowsをUpDateした際のファイルにあった様(？)で、それらを削除した後はこの様な事は無くなりました。
ところで以前ご指摘頂いた「まずはポート80以外で…」ですが私の場合、携帯電話用にしたいので出来ないんです。
(T T)
なので今回はまず、AN HTTPを運用せずルータのパケット・フィルタをキチンと再設定して暫く様子を見てましたら大丈夫みたいでした。
そこでなかおさん・ゆきすけさんのご指摘により修正されたというver,1.14fをダウン・ロードさせて頂き、運用しましたら早速アクセスがあり、以下の様なerrors.logが十数行出てきました。

Tue Nov 05 22:14:04 2002 Warning: connection reset during Recv() in ClientRead() for Thread 1 (ID = ****)  with errorcode 10061

その時私は、「またか!」と思ってアクセス中に回線切断&PC再起動をしたのですが、よく考えると以前のlogと違うのでこれは「ブロックされた」という事なのでしょうか？
でも、なかおさん・ゆきすけさんの症状と私のとは違う気もしますし…。
本当にすみませんが中田さんを始め有志の方々、宜しくお願い致します。
m(_ _)m
あと、恥かきついでにお教え頂きたいのですが、[Nimda]とは何ですか？
検索しますと、トレンドマイクロさんのWeb(?)で「感染…」の話が出てくるのですが、それだと中田さんのお話とズレてるので多分違うお話かと思うのですが…本当にすみませんです。
m(; ;)m

中田昭雄 nakata@st.rim.or.jp 2002/10/26 17:22

スキャもんさん、
ここでも繰り返し話が出ているように、それは「不正アクセス」ではなく Nimda によるアクセスですし、それが原因で動作がおかしくなることはありません。

と言われてもお困りでしょうから、まずはポートを80以外にしてみるのがよいでしょう。
もちろん、アクセスする側でポート番号を指定しなければいけなくなりますが、Nimda によるアクセスはまったくなくなります。
それから原因を調べてみるのがよいと思います。

スキャもん今回はお許し下さい。 2002/10/25 23:59

初めまして。私もAN HTTPを利用させていただいています。
このソフトは使い易く本当にありがたいです。

ところで最近、不正アクセスについてのお話が多い様なので私も便乗して中田さんにご質問させていただきます。
私はサーバ用ソフトはこれしか使用した事が無く、詳しい知識もあまり無いので正しい判断かもわからないのですが、私もこのソフトでサーバ公開時から以下の様なログの後にPCが再起動？（リセット？）してたり、不可解な事が起きたりしてました。

以下がそのログの例です。

80.94.192.183 - - [16/Oct/2002:05:57:49 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:57:55 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:05 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:11 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:16 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:22 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:27 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ\../..チ\../..チ\../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:33 +0900] "GET /scripts/..チ\../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:38 +0900] "GET /scripts/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:44 +0900] "GET /../winnt/system32/cmd.exe HTTP/1.0" 403 194 
80.94.192.183 - - [16/Oct/2002:05:58:49 +0900] "GET /scripts/..\../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:58:55 +0900] "GET /scripts/..ィ5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:59:00 +0900] "GET /scripts/..ィ5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:59:06 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215 
80.94.192.183 - - [16/Oct/2002:05:59:12 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215

ちなみに今はPCに同梱されていたPCGATEというファイアウォールソフト(?)で
\WINDOWS\system32\alg.exe
\WINDOWS\system32\svchost.exe
と I.E. や O.E. の動作制限をして一応回避出来ている様ですが、実際はわかりません。
あとこれだとリモート・ホストが取れなくてちょい悲しいです。

ただし、この症状はAN HTTPのバージョンと関係無い様なので、もしこちらでお聞きする問題では無い様ですが、だとしたらどちらで調べれば良いのか、当方初心者なので詳しく教えていただけると助かります。

長々とすみませんでしたが、当方かなり切実ですので中田さんを始め有志の方々、宜しくお願い致します。m(_ _)m