- ベストアンサー
Code Red ワーム?
ここ2,3日「Code Red」の感染が広がっているようですが、うちの会社へも不正アクセスのログが残っております。(NNNN(orXXXX)...略%9090....略)Microsoft社の修正パッチはあてましたので、感染の恐れはないとは思いますが... これが原因なのか調査しているところですが、うちのホームページを見た時や、会社からインターネットに出たときに断続的に回線が途切れたような症状がでます。 やはり、「Code Red」の影響なのでしょうか?ご存知の方教えてください。 また、復旧方法をご存知の方は是非ご教授ください。 サーバのOSはWindows2000で、IIS4.0を使ってます。
- ko-16
- お礼率47% (16/34)
- ネットワーク
- 回答数4
- ありがとう数2
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
CodeRedIIは攻撃周期が短いのでがんがん アタックしてきます。 でも、断続的に回線が途切れたような症状が でるのであれば内部(社内)に感染したマシンが すでにあり、そいつが外部に攻撃していて ネットワークの帯域をつぶしているような ことはありませんか?
その他の回答 (3)
- Adams2001
- ベストアンサー率67% (70/103)
修正パッチを当てたのが先月ならば感染していないと思いますが、今月になってからだと一旦感染した恐れもあります。CodeRed IIは感染時にバックドアを仕込みますので、ワーム自体はリブートで消えますがパッチは再感染を防止するだけですのでバックドアは開いたままになります。そこからさらにトロイ等を送り込まれることもありえます。念のためバックドアがないかどうか確認してみるべきでしょう。 日経BP社のニュース http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010806/1/ また、一部のルータがCodeRedの送りつけるパケットにより不具合を起こしています。こちらの可能性の方が高いような気がしますのでルータ等のネットワーク機器メーカーのサイト等で確認してください。
お礼
みなさまありがとうございました。 ログを良く見ると、IPアドレスにうちの会社のアドレスが混ざってました。 そのパソコンはIISを使ってないと思っており、然るべき対応をしておりませんでした。 なんともお恥ずかしいお話ですが、皆様のおかげで現在は復旧いたしました。 どうもありがとうございました。
- gold8
- ベストアンサー率31% (60/191)
まちがいなく、CodeRed (2) です。 下記のURL を参照してください。 引用文です。↓ >8月4日から今日も引き続き、うちのサイトの80ポートが開いている機器に対して「Code Red」ワームの亜種がひっきりなしにアクセスを掛け、負荷が上がっています。勿論、IISが上がっ >ているかどうかも関係無い無条件アタックです。
- Haizy
- ベストアンサー率40% (404/988)
こんにちは。 CODE Redは、どうやら、日本語版では、うまく作動しなかったようなのですが・・・。さてさて、亜種が出ている模様です。これも、例のIISパッチで大丈夫と言っています。 ●亜種関係 http://channel.goo.ne.jp/news/topics/index/topicsname95.html ●シマンテック社(日本語サイト) http://www.symantec.com/region/jp/ セキュリティーチェックの項目から、駆除ツール・チェックツールのダウンロードも可能です。一度やってみては? アンチウィルス・リサーチセンター あたりに当該記事がまとまっていると思います。 LAN管理やってると、心配ですよね。 しかし、変なアクセスは日常茶飯事なんで・・・(おっと、慣れちゃいけない!!)がんばってください。 でわでわ。
関連するQ&A
- Code Blue ワーム
Code Red が利用したものと異なる既知の IIS 4.0/5.0 の脆弱性を利用した Code Blue と呼ばれるワームの存在が報告されていると、マイクロソフトの Webサイトにありました。 Webサイトには、感染対象と対策プログラムの情報しかありません。 どの様なワームなのかご存知の方、教えてください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- ウィルス対策行き詰まり・・。教えて下さい。
win2000パーソナルを使っています。 無知な為、マイクロソフトのHPで紹介されていたソフトを(対策用と思い) ダウンロードし(正確には重くて時間がかかり完了してません)、必要なかったものでは?と思っていて、情報を頂けたらと思います、よろしくお願いします。 IEのバージョンが(IE5.01 SP1, IE5.5 SP1)では感染すると聞きました。 自分のIEのバージョンは(5.50.4134.0600)。これは感染対照に当てはまってしまうのでしょうか?どれにあたるか疑問に思っています。 必要のない物をダウンロードしてしまった(と思う)のは、IIS(SP2)です。途中で回線も切れ?、画面を見ると失敗したようで、これってPC内に残って(ますか?)いる場合消すべきでは・・?と思ってます。 これに対してはどうするべきですか?調べ方とか・・? 後の対応が必要ではないか?と かなり気にしています。 また、なぜ、ダウンロードしたかですが、IISというものを知らず、文章を読み これを入れると感染しないのだ(対策)と間違った理解をしてしまったからです。 その後、説明を何度か読み、正しくは セキュリティーホールがあるIISを 使っていると(修正パッチをあてていないIISを利用している)と感染するから、 最新の修正パッチをあてる事で感染の危険がなくなるという事だと悟りました。 その修正パッチが「IIS SP2」なるものなのですよね? ↑この解釈であっておりますでしょうか?。 IISは自分でインストールしない限りPCには存在しないですか?
- ベストアンサー
- ネットワーク
- Win2000Server+IIS5.0不定期にダウン
現在、Win2000server(SP2)とIIS5.0という構成になっており、クライアント端末の特定のWebページが真っ白くなる現象が不定期に(端末・日時・曜日・時間帯共に)起こっています。 IIS5.0のログを参照しますと、[ASP_0147]500 Server Error というログが表示されているのですが、原因不明なため応急処置としてIIS5.0の再起動を行い、現状を凌いでいる状況です。 IIS5.0の再起動を行うと、クライアント端末は通常のWeb表示がされます。 高トラヒックによりダウンしているのかと思い、Microsoftの負荷ツール「Application stress tool」を使用し試験を実施しましたが、現状考えられる最大負荷の約10倍の高負荷にも関わらず、IIS5.0はダウンしませんでした。 また、ウィルスにも感染しているかと思いウィルスチェックも行いましたが、全端末(サーバ、クライアント共に)感染がない事を確認済みです。 今後は(1)Win2000ServerのSP3をあてる(2)MS-IISの修正に関するMS01-026修正パッチをあてることを想定していますが、根本的な解決には繋がらないと思っています。 もし、この問題に対する解決方法をご存知でしたら、是非お教え頂きたいと思っています。宜しくお願い致します。
- ベストアンサー
- Windows NT・2000
- IISがフリーズ
漠然としていて申し訳ありませんが、 Windows Server 2000 + IIS5.0 + ASPで イントラネット用のサイトを構築していますが、 一日に一度くらいの割合で、サイトが反応しなくなり、 IISを再起動が必要になってしまいます。 システムのイベント IISのログ 等に不正だった痕跡は残っていません。 現在、分離プロセスで動かしています。 また、たまに DLLHISTがCPU100%の状態が続くことがあり、 ワームの感染について調べましたが、 その可能性はないようです。 どなたか、このような状況についてご存知の方がいらっしゃったら、アドバイスをお願いいたします。
- ベストアンサー
- Microsoft ASP
- CODERED.A
フレッツISDNで、Win2000Serverをつなぎっぱなしにしています。 どうやらCODERED.Aのアタックを受けているらしいのですが、ログをみると PCを落としている時間にログがはかれています。どういうことなのでしょうか? 一応最新のパッチをあて、トレンドマイクロ社のツールでチェックをしたのですが、それが昨日のことなので、もしかしたら感染しているかも、と心配です。 感染しているかどうか、どうすれば明確にできますか?トレンドマイクロ社のチェックツールでは大丈夫だというメッセージが出ているのですが、いろんな亜種も出ているようなので、それを信用していいのでしょうか。参考までにIISログを掲載しておきます。 http://www.geocities.co.jp//HeartLand-Cosmos/4223/iislog.txt
- ベストアンサー
- ネットワーク
- MS03-026 ワームにかかりました。 発症日 : 9/26~
ワームの駆除・解決方法を教えて頂ければ幸いです。 修正を試みた結果、 現状が特に問題ない状態であるのか、早急に処置が必要であるのか 判断ができずにおりまして、投稿致しました。 解決の選択肢をA.B.C.と考えてみましたが、その他に良い方法がありましたら御意見いただければ幸いです。宜しく御願いします。 PC環境 : xp home sp2 発症 : ここ1~2日程から。 --- --- --- --- --- --- --- --- --- --- --- ●試した事 1. XP用修正プログラム MS03-026(「WindowsXP-KB823980-x86-JPN.exe) 2. XP用修正プログラム MS03-007(「Q815021_WXP_SP2_x86_JPN.exe」) 3. 「auto_tsc」 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=jp-24700 4. ウィルスバスターオンラインスキャン 5. インストール済みのウィルススキャン(ウィルスバスター2008) 6. ファイヤーウォールA 設定確認(コントロールパネルから) 7. ファイヤーウォールB 設定確認(ウィルスソフトによる設定) 8. セキュリティソフト会社に問い合わせ。 --- --- --- --- --- --- ◆結果 1. KB823980 セットアップエラー (インストールされているシステムのSPは、適用しようとしている更新より新しいバージョンです この更新はSPががインストールされていないコンピュータにのみインストールできます。) 2. Q815021 セットアップエラー(上記同) 3. Execute pattern count(3023),→感染調査したウイルスの数 Virus found count(0),→? Virus clean count(0),→感染が確認され、修復処理できたウイルスの数 Clean failed count(0)→感染が確認され、修復処理できなかったウイルスの数 4-7. 問題無し。 8. ソフトに関するセキュリティ対策(FW LAN等)は案内できるが、マイクロソフトのパッチ云々は、、、範囲外なので。との事。 --- --- --- --- --- --- --- --- --- --- --- ■選択肢 A.バックアップソフトで正常な状態へ戻す。(「発症する度に、リカバリする」というのは解決なのでしょうか?) B.セキュリティホールの穴を塞ぐ。(エラーがでてあてれません) C.特に何もしない。 (セキュリティパッチ(エラーが出る)があてれない=修正パッチより現在のSP2が最新だ。=このままでも問題はない?と解釈する。)
- ベストアンサー
- ウィルス・マルウェア
- W32.Blaster.Worm
W32.Blaster.Wormに感染し、symantec社が公開している駆除ツールで削除したのですがWindowsXpの修正パッチをあてずに削除した為、「インターネット接続数分後再起動する」現象が直りませんでした。再度、symantec社が公開している手順書通りにウィルス削除を試みたのですが駆除ツールのログ上何も検出削除されず、上記現象が続きました。最終手段として、購入時の状態に戻しました(システム復元)がそれでもダメでした。 システム復元方法(2回実施) 前提:PCはNECのLavieで、システム復元専用のDドライブがあり。 1回目 (1)NECが用意しているツールを使用し、個人設定情報等のバックアップをとる(Dドライブに自動的に保存)(2)システム復元(3)バックアップのデータを復元 上記現象が続いた為、2回目実施。 2回目 (1)システム復元のみ(バックアップデータは残ったまま) システムの復元をしたら、直ると思っていましたが無理でした。レジストリが関係するのでしょうか。どなたか教えてもらえないでしょうか。よろしくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
- 「W32.Blaster.Worm」に感染?
Windows XP Service Pack 3を使っています。 メーカーはデルのデスクトップ型のPCです。 1週間ほど前からカーソルは動くのですが、ネットがつながらなくなりました。 また、スタートにカーソルをもっていくと砂時計マークになります。 しばらくすると、 『システムのシャットダウン システムはシャットダウンされます。進行中の作業をすべて保存し、ログオフしてください。保存されていない情報は失われます。シャットダウンは NTAUTHORITY\SYSTEM によって開始されました。 シャットダウンまで 00:00:59 メッセージ Remote Procedure Call (RPC) サービスが異常終了したため Windows を再起動する必要があります。』 と出てそのまま放置するとシャットダウンしてしまいます。 ただ、そのポップアップが出たタイミングだとスタートを触れると砂時計ではなくなるのでファイル名を指定して実行にて”shutdown -a"でシャットダウンは一時的には食い止める事は可能になりました。 (ちなみに"shutdown -i"で時間を延ばそうと変更してもokボタンがグレーアウトで使用不可能です。 ちなみにこのPCにはウィスル監視ソフトは入っていません。 ですが、ネットで検索すると「W32.Blaster.Worm」に感染しているみたいなんです。 (ウィルス監視ソフトが入っているわけではないので断定はできません) タスクマネージャーのプロセスにはmsblast.exe penis32.exe や teekids.exe はないのですが、亜種と思えるwinlogon.exeは存在しますが、プロセスの中止はできません。 他の感染していないPCでMS03-026 に関する情報修正プログラムをダウンロードし、あてたのですが、ダウンロードしたものはSP1対応のもので修正プログラムのパッチはあたりませんでした。 ただsysmantecの駆除ツール(FixBlast)で検索してもW32.Blaster.Worm は感染していませんと出るんです。 ちなみに体験版のセキュリティーツールを走らせようとしてもネットがつながりません。 コントロールパネルよりネット接続をみるとローカルエリア接続が表示されないんです。 ちなみにデバイスマネージャーからネットワークアダプターを見ると!も?も表示がされずにデバイスはちゃんと認識されているみたいなんです。 どうかこの状態で回避する方法をどなたかご教授ください。
- ベストアンサー
- ウィルス・マルウェア
- スパイウェア ESO Exploit の修正パッチのありか(Microsoft)
スパイウェアのカテゴリーが無いので、こちらに書き込みます。聞きたい事はこれ↓です。 【実際にこのDSO ExpRoitの修正パッチのありか(具体的に)をご存知の方、教えてください。】 ウィルスバスターの初期設定で「スパイウェア」にチェックいが入ってないことを知らずに、そのままメールを開けて、スパイウェアに感染しました。 いろいろ調べて、結局 Spy-bot1.3(最新バージョン)からほとんどのスパイウェアは削除できましたが、ひとつだけ問題が残りました。 どうやらこの最新バージョン1.3は「DSO Exploit」だけは削除できず、削除してはいけないということがネットサーフしていてわかりました。(1.2Ver.はできたらしい) そして「Microsoft から結構前にこのDSO Exploitについての修正パッチが出ているので、問題ないのかもね…」と言う書き込みも、いっぱい見ました。 で、マイクロソフトの検索を丸二日間してみたのですが「セキュリティパッチのダウンロード場所」というところに行き着いても、目的のブツは見つからず。 マイクロソフトのチャットでご案内、でも、セキュリティ検索から探せ、とのことで終わってしまいました。 【どなたか、じっさいにこのDSO ExpRoitの修正パッチのありか(具体的に)をご存知の方、教えてください。】 よろしくお願いします。m(__)m
- ベストアンサー
- ウィルス・マルウェア
- 「設定を保存しています」でフリーズする
件名のままなのですが、 当方、「windows XP SP1」を使用しているのですが 終了をしようとすると、「設定を保存しています」の画面でフリーズしてしまいます。 教えてgooの過去ログに似たようなのがあったので 試してみたのですがだめでした。(ようこそ画面を表示させないとか、修正パッチを入れるとか) そのため、いつも電源を数秒押して電源を切っています。 何か解決方法はありますでしょうか? ご存知のかおしえてください
- 締切済み
- Windows XP
お礼
ありがとうございます。 修正パッチをあて、再起動して、ダウンロードしたウイルスチェックをしたところ、「脆弱ではない」とのメッセージが出ておりましたので、感染はしていないと思います。 再度チェックしたいと思いますので、他のチェック方法をご存知でしたら教えてください。