OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

REDCODEですが、重複していたらすいません。

  • すぐに回答を!
  • 質問No.116413
  • 閲覧数45
  • ありがとう数6
  • 気になる数0
  • 回答数5
  • コメント数0

お礼率 79% (203/254)

WinNT4ですが、REDCODEに侵されたので
最初にSP6aを当て、
その次にJPNQ300972i.exeとJPNQ299444i.exeとarbexeis.exeとarbexei.exeを当てました。
もちろんその都度リブートもしています。
しかし、その後もアクセスは続いています。(回数は減りましたが)
どうしたら良いのでしょうか?

すいませんが大変困っています。
盆休みに入る前に解決したいです。。。
宜しくお願い致します。
通報する
  • 回答数5
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.4
レベル12

ベストアンサー率 65% (242/372)

>ところで、実際修復されたのかが不明でしたので困っています。
>駆除されたかどうかの判断をしたいのですがどうしたら良いのですか?
>Firewallが有りますが、Webサーバーのアクセスログに未だCODEREDのログが出てくるのですが。。。

駆除ソフト&CodeRedチェッカーでOKなら、「CodeRed」は駆除出来ているかと思われます。
それ以外のバックドア等の保証は出来ませんが

#2でもお答え致しましたが、CodeRed自体のアクセスはサーバー等関係なく、グローバルIPが振られている機器全てにアクセスがあると思いますので、気にすることではないです。

単純にCodeRedがちゃんと駆除できたかを調べる方法としては、コマンドプロンプトから

netstat -an

と入力し

TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]

というのが出てくるのであれば、まだ感染している可能性が高いです。
もちろん、ブラウザでどこかのホームページを開いている最中に実行したら意味ないですが・・・

更に厳密に調べたいのであれば、sniffer等のパケットキャプチャできるソフトウェアなどで調べてみてはどうでしょうか?

以上、参考までに
お礼コメント
audiaudi

お礼率 79% (203/254)

回答有難う御座います。
試しにFirewallで「netstat -an」と入力したら
TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
が2行出てきました。
その2行のIPをブラウザで調べたら「IPA」でした。
もちろん誰もそのページを見ていません。
やはり未だ駆除出来ていないのでしょうか?
無理言ってすいませんが宜しくお願い致します。
PS:snifferも調べましたが30万は出してもらえそうに有りません(^^;
投稿日時 - 2001-08-10 10:45:41
-PR-
-PR-

その他の回答 (全4件)

  • 回答No.1
レベル11

ベストアンサー率 18% (55/299)

やられたあと、パッチを当てても元に戻らないと思います。 マイクロソフトのサイトの対策を見て、駆除しましょう。 ...続きを読む
やられたあと、パッチを当てても元に戻らないと思います。
マイクロソフトのサイトの対策を見て、駆除しましょう。
お礼コメント
audiaudi

お礼率 79% (203/254)

有難う御座いました。
ずっとこのページを見ながら対応しています。
それでも、実際修復されたのかが不明でしたので困っています。
駆除されたかどうかの判断をしたかったのです。
投稿日時 - 2001-08-10 08:31:57


  • 回答No.2
レベル12

ベストアンサー率 65% (242/372)

CodeRedですよね?(^^;; 一応Microsoftを始め、各ベンダーが対策を書かれていますが、一度感染したら面倒でもOSの再インストールしたほうが良いです。 というのも、CodeRedII(CodeRed.v3)と呼ばれるタイプだと、別途バックドアを仕掛けられている可能性もありますので。 あと、感染してなくてもアクセスそのものをなくすことは当分難しいかと思います。 なくそうと思えば ...続きを読む
CodeRedですよね?(^^;;
一応Microsoftを始め、各ベンダーが対策を書かれていますが、一度感染したら面倒でもOSの再インストールしたほうが良いです。

というのも、CodeRedII(CodeRed.v3)と呼ばれるタイプだと、別途バックドアを仕掛けられている可能性もありますので。

あと、感染してなくてもアクセスそのものをなくすことは当分難しいかと思います。
なくそうと思えば世界中のIISがちゃんと対策をしない限りアクセスがなくなることがありませんから。

勿論私の管理下のサーバーも公開時から該当のパッチ当てていましたが昨日、一昨日と日に数千回ほどCodeRed絡みのアクセスがありました(泣)
感染しなくても、これだけの数になるといい迷惑ですよね
補足コメント
audiaudi

お礼率 79% (203/254)

すいません併せて質問させて頂きます。
トロイの木馬の停止、及び再起動の予防方法ですが、
そもそもExplorer.exeは1個しか動いていませんでした。
そしてC:\Program Files\Common Files\system\MSADC内のroot.exeですが、
エクスプローラー上から削除できます。
読取専用や他のアプリケーションが使用しています。
などの表示が出ずに消せます。
そもそも最初から有ったファイルなのですか?
消しても良いのですか?
すいませんがご教授願います。
投稿日時 - 2001-08-10 09:22:49
お礼コメント
audiaudi

お礼率 79% (203/254)

回答有難う御座います。
Webサーバー・Mailサーバー・Faileサーバー兼用の為、今すぐOSを入れ替える対応は難しいです。
でも入れ替えした方が良いのは分かります。
一度SIとも相談してみます。
ところで、実際修復されたのかが不明でしたので困っています。
駆除されたかどうかの判断をしたいのですがどうしたら良いのですか?
Firewallが有りますが、Webサーバーのアクセスログに未だCODEREDのログが出てくるのですが。。。
しかしSymantecなどのCODEREDチェックプログラムでは大丈夫と出ます。
すいませんがもう少しお助け願います。
投稿日時 - 2001-08-10 08:39:39
  • 回答No.3
レベル9

ベストアンサー率 40% (43/105)

NTなんでCodeRedですよね。 シマンテックからCodeRedの駆除ツールが出ていますよ。 ...続きを読む
NTなんでCodeRedですよね。
シマンテックからCodeRedの駆除ツールが出ていますよ。
お礼コメント
audiaudi

お礼率 79% (203/254)

有難う御座います。
良く見たら「REDCODE」って書いてましたね(^^;;お恥ずかしい・・・
この駆除ツールも試したのですが・・・
投稿日時 - 2001-08-10 08:41:56
  • 回答No.5

#4 hequilさんの補足ですが、 >netstat -an >と入力し >TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列] >というのが出てくるのであれば、まだ感染している可能性が高いです。 > CodeRed2であれば、感染してから24時間(日本語環境)しか攻撃を行わないそうなので、 これではチェックできません。 ...続きを読む
#4 hequilさんの補足ですが、
>netstat -an
>と入力し
>TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
>というのが出てくるのであれば、まだ感染している可能性が高いです。
>
CodeRed2であれば、感染してから24時間(日本語環境)しか攻撃を行わないそうなので、
これではチェックできません。
8/4以降に感染に気付いたのであれば、CodeRed2に入られた可能性が高いので、
CodeRed2の対処が必要でしょう。


hashさんのページがかなり詳しい情報を公開していますので、一度みてみては。
(参考URLはCodeRed2に関するもの)
補足コメント
audiaudi

お礼率 79% (203/254)

あれから2日後ですが、
netstat -an
TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
は無くなりました。
解決したものと判断します。
皆様有難う御座います。
投稿日時 - 2001-08-13 08:33:43
お礼コメント
audiaudi

お礼率 79% (203/254)

回答有難う御座います。
私もうっかりしていましたが、昨日のログに
NNNNNNNNNNNNNNNNNNNNNNNNNNN

XXXXXXXXXXXXXXXXXXXXXXXXXXX
の両方がありました。
と言う事はCode Red & Code Red(2)の両方から攻撃を受けているのですね。。。
参考URLで見る限り「root.exe」は消した方が良いのですね。(消さないと意味が無いのですね)
投稿日時 - 2001-08-10 11:54:15
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ