"Code Red"Wormの感染?
- 最近、自社Webサーバーで異常なログが出ています。
- idq.dllが存在しないため、このワームから保護されているという情報もありますが、信じても良いでしょうか?
- 8/1からこのエラーが発生し、マイクロソフトの差分パッチと修正プログラムを適用しても解消されません。単に隙がないか調査しているだけでしょうか?教えてください。
- ベストアンサー
"Code Red"Worm の感染?
自社Webサーバー(WinNT 4.0 SP6a:Apache)を利用してます。 最近下記のログが異様に出ています。 このサイト履歴から参考にして、各社からでているツールでチェックしても、”idq.dllが存在していないから、このワームからプロテクトされている”見たいなものが出ますが、本当に信じてよいのでしょうか? また、このエラーは8/1からでていて、昨日マイ○ロソフトから出ている差分パッチを当てて、さらに、修正プログラムでレジストリーに追加するようなq300972を入れておきました。 その後でも、下記のエラーは出ています。これは、単に隙が無いか探りを入れているだけでしょうか?教えてください。 62.○72.142.55 - - [09/Aug/2001:04:47:18 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 333 211.0.○34.187 - - [09/Aug/2001:05:07:43 +0900] "GET /default.ida?xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 286
- ネットワーク
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ゴメンナサイ。 よくみたら、アパッチじゃん!! 大丈夫ですよ。idq.dllは、WINのオプションパックにくっついてるファイルです。 IISでも入れてなければ、入らないでしょう。 失礼いたしました。
その他の回答 (1)
- Haizy
- ベストアンサー率40% (404/988)
こんにちは。 Webだけなら(Index Serverの機能を使わない)、idq.dllを使用しなくても稼動します。 今回のCode Redワームは、Idq.dllのオーバーフロー(桁あふれ)を利用したものなので、idq.dllが無ければ大丈夫です。 winnt\system32\ にidq.dllが無いものと思われます。とりあえず、違うフォルダにも入っていないか確認してみてください。 なお、「標準インストール」だと、idq.dllが入ってしまいます。 必要ないファイルを入れずに構築した構築者に拍手! でわでわ!
関連するQ&A
- http://www.worm.com/って何ですか
NTサーバーでリンク切れを検出しているのですが、07/20~下記のようなログがあります。数10分おきです。これは何でしょう?? http://www.worm.com/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN(中略)NNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
- ベストアンサー
- ネットワーク
- ApacheのAccess.logで質問
回線をADSLにしてからApacheのAccess.logに不明なログが残るように なったのですが、ログ内容が意味不明でわかりません、 ログは以下の通りです。(IPは伏せておきます) xxx.xxx.xxx.xxx - - [09/Sep/2010:22:55:43 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 401 464 何か専用ソフトでアクセスしているのでしょうか?? ステータスは401なんで 進入はされていない模様ですが。 1日に違うIPから20~50件ぐらい残ります。 ご存知の方、よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- WORM_MSBLAST.Aに感染しました。
WORM_MSBLAST.Aに感染してしまいました。トレンドマイクロなどのweb siteに掲載されている対策を行い、削除はしました。しかし、以下のような傷害が残ってます。 1.起動後しばらくするとエクスプローラがおかしくなり、ファイルのドラッグなどができなくなる。("0xe0423a68"の命令が"0xe0423a68"のメモリを参照しましたが。メモリが"read"になることはできませんでした。…というエラーダイアログがでて、C\WINNT\system32\svchost.exeがおかしくなる。) 2.エクセルを起動すると「OLEは現在使用できません。」、「VBAライブラリ(14)の初期化でエラーが発生しました。」というエラーがでる。 これらを修復する方法が分かりましたら教えてください。(最悪、OS再インストールも覚悟してますが…)よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- WORM_WITTY.A に感染した?
パソコン2台使ってます。Win98の方はウイルスバスター2004にアップデートして使っていたのですが、Win XPの方は2003のままでした。今日、Win98の方でWORM_WITTY.Aが発見されました。検索にはかからないので、感染しているのかどうかがわかりません。 このワームについて下記ページに概要があり、見たのですが、どう対処したらいいのか分からなくて…。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_WITTY.A http://www.isskk.co.jp/support/techinfo/general/Witty_167.html Win98では、警告が出た後、上記のページを見て、その後電源を落とし、再起動しました。今のところ特に異常はないようです。 その後、ウイルスバスターのファイアーウォールのログを見たら、確かに送信元がUDPポート4000になってました。 ふと気が付いて、XPの方を立ち上げてログを見ると、22日の時点で、UDPポート4000からの不正アクセスがいくつもあるのです。ところが、ウイルスバスター2003だったため、警告がなく、ワームがアクセスしている間中ずっとポート開けっ放しだったようです。 そういえば、ここ2~3日、XPのハードディスクがカタカタ言うので変だと思っていたのですが、この音はウイルスと関係ありますか? また、「 Wittyワームは、以下に挙げた特定のバージョンのPAMを持つWindows版にのみ感染します。」という説明なのですが、自分のパソコンがどのバージョンなのかを知るにはどうしたらいいのでしょうか?そもそもBlackICEとかRealSecureというのがなんなのかさっぱりわかりません。 感染しているかどうか、どうやったらわかりますか? 感染しているとしたら、どうしたらいいでしょうか?
- 締切済み
- ウィルス・マルウェア
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- grep内容をtar.gz
タイトルの通りです。 grep "0./Jul/2011" 1.log 上記でgrepされた内容をtar.gzでまとめることは可能でしょうか? 1.logの内容は下記になります。(アクセスログです。) XXXXXXX - - [01/Jul/2011:09:19:24 +0900] "GET xxxxxxxxxxxx HTTP/1.1" 200 8312 XXXXXXX - - [02/Aug/2011:10:17:18 +0900] "GET xxxxxxxxxxxxxx HTTP/1.1" 200 8312 お手数ですが、ご回答いただけると助かります。
- ベストアンサー
- Linux系OS
- Webサーバのログで・・・
8/19 10:50前後に、Webサーバに怪しいログが残っていました。 (省略) GET, /NULL.IDA, CCCCCCCCCCCCCC(中略)CCCCCCCCCCC%u0aeb%ub890... (以下略) というなんともCODEREDまがいなログが残っています。 (NNNN... XXXX... は、いつも見かけるのですが) 戻り値は、エラー404 で特に問題は無いのですが。 お恥ずかしいことに、前任者から引き継いだばかりで、ウィルス対策ソフトの「ライセンス証書が見あたら無い」という状態で問い合わせもできなく難儀しております。 同様のWeb管理者様や、既知のワーム・新種で発表された等何かあったら教えてください。
- ベストアンサー
- ウィルス・マルウェア
- 秀丸の正規表現をPHPで実行したら
POST /xxxxxx/xxxxxx/xxxxxx/ HTTP/1.1 GET /xxxxxx/xxxxxx/444444444444444 HTTP/1.1 GET /xxxxxx/xxxxxx/44444444444444/ HTTP/1.1 GET /xxxxxx/ HTTP/1.0 GET /xxxxxx/P707 HTTP/1.1 GET /xxxxxx/P707_0123 HTTP/1.1 GET /xxxxxx/xxxxxx/?xxxxxx=444444444444444&xxxxxx= HTTP/1.1 GET /xxxxxx/xxxxxx/xxxxxx/444444444444444/?xxxxxx=123456789 HTTP/1.1 GET /xxxxxx/xxxxxx/444444444444444/?xxxxxx=ABC_123_3&xxxxxx=ABC_123_3&xxxxxx=123456789 HTTP/1.1 これらは、とあるサーバーのログなのですが、 上記の内容を、正規表現によって以下のように置換を行っています。 POST /xxxxxx/xxxxxx/xxxxxx/ HTTP/1.1 GET /xxxxxx/xxxxxx/ HTTP/1.1 GET /xxxxxx/xxxxxx/ HTTP/1.1 GET /xxxxxx/ HTTP/1.0 GET /xxxxxx/ HTTP/1.1 GET /xxxxxx/ HTTP/1.1 GET /xxxxxx/xxxxxx/ HTTP/1.1 GET /xxxxxx/xxxxxx/xxxxxx/ HTTP/1.1 GET /xxxxxx/xxxxxx/ HTTP/1.1 これらの内容を秀丸(jre32互換)で行っていたのですが、 PHP(perl互換)で実装をしょうと、正規表現を用いて、行ってみたところエラーが出てしまいました。 検索 ([GET|POST]) /([a-zA-Z]+[0-9]?/)?([a-zA-Z]+[0-9]?/)?([a-zA-Z]+[0-9]?/)?([a-zA-Z]+[0-9]?/)?[^\s]*\s 置換 \1 /\2\3\4\5 (\5のあとに半角スペースあり) ひとくちに正規表現といっても、jre32互換かperl互換かで挙動が違うのだと思いますが、 どこをどのように直したら良いのか、よくわかりませんので 教えて頂けないでしょうか?(この正規表現でなくても同じ結果が得られるなら、それでも良いので・・・) また今回、2回正規表現をしても良いので POST /xxxxxx/xxxxxx/xxxxxx/ HTTP/1.1 GET /xxxxxx/xxxxxx/ HTTP/1.1 ↓ /xxxxxx/xxxxxx/xxxxxx/ /xxxxxx/xxxxxx/ といった具合にもしたいのです。(1回でできれば、一番いいのですが・・・・)
- ベストアンサー
- PHP
- マテリアライズドビューを利用した差分実体の取得
こんにちは。 Oralceで差分(新規・更新)があった場合に差分データ(実体)のみ取得を 行おうと下記の手順を行ったのですがうまく行きません。 ・マテリアライズドビューログを作成(デフォルト) ・読み込み専用マテリアライズドビューを作成(デフォルト) ・完全リフレッシュ(初回のみ) (反映後マテビューをTruncate) ・高速リフレッシュ(ここでエラー:ORA-32320) 以降、高速リフレッシュ間隔で差分データを取り出したい パラメータがおかしい等ご指摘お願い致します。
- 締切済み
- Oracle
- サーバのログについて
個人で勉強目的でサーバを立てているんですが ちょっと前から不審なアクセスが目に付きます。 具体的には /default.ida XXXXXXXXX(中略)%u0078%u0000%u00=a や /c/winnt(中略)/cmd.exe /c+dir 等のログが残るんですけどいかにも悪意あるアクセスって感じがしますがこれは何なんでしょう? サービス拒否攻撃ってほど頻繁にくるわけではないですし、NIMDAやCodeRedと関係あるのでしょうか?それともただ単に攻撃されてるだけでしょうか? ちなみに攻撃してくるIPは自分と似たIPが多いです。(IPは毎回違いますが最初の8ビットが同じ場合が多い) それとウィルススキャンでウィルスは検出されませんでした。 セキュリティーに詳しい方々の意見を伺いたいです。 お願いします。 環境 win2000server sp2+その後の各種パッチ IIS5.0 ZoneAlarm ノートンアンチウィルス
- ベストアンサー
- その他(インターネット接続・通信)
お礼
お~お。専門家からの回答、心強い限りです。 大丈夫と聞いて、安心を致しました。 実は、IISなるものは知りませんでした。(笑 WinNTとW2Kのことばかり書いてあるので、絶対入れないとダメなのかと・・。 でも一応当ててしまいましたので、何かの足しになるかなあ~。 ありがとうございました。