- ベストアンサー
CodeRedについての質問
Haizyの回答
本当にとろけてます。 両方ともあってるようです。 (今何で、飛べなかったのだろう???負荷!?) なお、 #1は、 JPCERT よりの勧告文です。 #2のは、対策用。 いろいろ、対応しながらやっているので、意図とは違うものペーストしていました。 本当に申し訳ないです。
関連するQ&A
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- apacheのログからNIMDA、CODEREDの見分け方
apacheのログから、Nimda,CodeRed,Codered(2)のそれぞれの 攻撃を受けたかを判別する方法はあるのでしょうか? root.exe,cmd.exe,default.idar,Admin.dll等は、nimdaでも CodeRedでもありえるのでしょうか?
- ベストアンサー
- ネットワーク
- winnt/system32/cmd.exe?/c+dir+C:\
ホスティングサーバーを借りています。(NT4.0) アクセス解析をしていると、下記へのアクセスがあります。これってなんでしょう? winnt/system32/cmd.exe?/c+dir+C:\
- ベストアンサー
- ネットワーク
- Apacheに予期せぬアクセスが
先日、自宅のマシン(OS:Win2k Professional)にApache 1.3.22をインストールしました。 サーバーとしてドメインを取得してる訳でもなく、IPを誰かに教えた訳でもないのですが、 Apacheを起動した状態でネットに繋ぐ(ダイアルアップする)と、外部からアクセスされているようなんです。 下記はその時のアクセスログとエラーログです。 210.**.**.** - - [04/Dec/2001:00:57:25 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" *** *** [Tue Dec 04 00:57:25 2001] [error] [client 210.**.**.**] File does not exist: c:/program files/apache group/apache/htdocs/scripts/root.exe この他にもcmd.exeを探しているようなものなど複数のアクセスがログに残ってました。 Apacheを起動しているだけで、外部から見付けられてしまう事ってあるのでしょうか? またはウィルスによって情報が流出しているのでしょうか? なぜ外部からアクセスされたのかわかりません。よい対策がありましたら教えて下さい。宜しくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- サーバのログについて
個人で勉強目的でサーバを立てているんですが ちょっと前から不審なアクセスが目に付きます。 具体的には /default.ida XXXXXXXXX(中略)%u0078%u0000%u00=a や /c/winnt(中略)/cmd.exe /c+dir 等のログが残るんですけどいかにも悪意あるアクセスって感じがしますがこれは何なんでしょう? サービス拒否攻撃ってほど頻繁にくるわけではないですし、NIMDAやCodeRedと関係あるのでしょうか?それともただ単に攻撃されてるだけでしょうか? ちなみに攻撃してくるIPは自分と似たIPが多いです。(IPは毎回違いますが最初の8ビットが同じ場合が多い) それとウィルススキャンでウィルスは検出されませんでした。 セキュリティーに詳しい方々の意見を伺いたいです。 お願いします。 環境 win2000server sp2+その後の各種パッチ IIS5.0 ZoneAlarm ノートンアンチウィルス
- ベストアンサー
- その他(インターネット接続・通信)
- VBAでコマンドプロンプトを呼び出す記述で
やりたいことはVBAからコマンドプロンプトにてBCP.EXEを呼び出してSQL文を実行することです。 コマンドプロンプトで直接打つと以下のようなコマンドになります。SQL文は長いので省略しました。 ************************* "c:\WINNT\system32\cmd.exe /k" "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe " "SQL文" ************************* これをVBAで以下のように記述しました。 ////////////////////////////////////////////////// stAppName = "c:\WINNT\system32\cmd.exe /k" stAppName = stAppName & "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe " stAppName = stAppName & "SQL文" Call Shell(stAppName, 1) ///////////////////////////////////////////////// 上のような記述だとコマンドプロンプトでは パスのダブクォテーションがなくなり ************************* c:\WINNT\system32\cmd.exe /k C:\Program Files\Microsoft SQL Server\80\Tools\Binn\bcp.exe ”SQL文” ************************* のように実行されBCP.exeのパスが通らず以下のエラーになります。 ///////////////////////////////////////////////// 内部コマンドまたは外部コマンド、 操作可能なプログラムまたはバッチ ファイルとして認識されていません。 ///////////////////////////////////////////////// どなたかVBAでコマンドのパスにダブルクォテーションをつける方法を教えてください。
- ベストアンサー
- Visual Basic
- これってアタック(不正進入)されているの ?
Win2000 + IIS 5.0 の環境でサーバーを稼動していますが Log ファイルを見ると以下のようなメッセージと サービス状態 200(正常) 操作内容 GET 対象URL ../winnt/system32/cmd.exe などと表示されています。 これってアタック(不正進入)されているの でしょうか ? また、不正進入だと防ぐ方法はありますか ?
- ベストアンサー
- ネットワーク
- 不安なので教えて頂きたいです
最近IPアドレスが勝手に変えられていたりしていて不安でOSをクリーンインストールしました(win2kです)。 ネットワークに繋げずにSP4までアップデートして ドライバ等をインストしてから、 セキュリティの為にノートンインターネットセキュリティをインストールしようとしたところ、 「インストールのシステムが壊れているか、ウィルスに感染しているおそれがあります。」 と出ました(インストできませんでした)。 他のフリーのウィルス検出ソフトも同じ警告が出てインストできませんでした。 オンラインのウィルスチェックをしたくてもネットにファイアウォールなしでつなぐのは怖いです。 どうすればよいでしょうか、レジストリやWINのファイルのことについては 全然詳しくないので見方などわからずどれがウィルスか見当がつきません。 教えて頂けると幸いです、どうぞよろしくお願い致します。 以下は HijackThis で出てきたログです。 Logfile of HijackThis v1.99.1 Scan saved at 23:40:58, on 2006/05/07 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\imejpmgr.exe C:\WINNT\system32\Internat.exe C:\WINNT\system32\conime.exe D:\b\dl\セキュリティ関連\hijackthis\HijackThis.exe
- 締切済み
- ウィルス・マルウェア
- パフォーマンスモニタをバッチで実行
NT初心者です。どうぞよろしくお願いします。 NT4.0サーバの稼動中、パフォーマンスモニタを5分間隔で動かし、 結果を一つのログに書き出したいのです。 定時起動をするにはATコマンドがあるということは調べたのですが、 実際のコマンドの記述がまったくわかりません。 ↓このようなかんじかと思うんですが… AT 00:00 /NEXT: c:\winnt\system32\prefmon.exe AT 00:05 /NEXT: c:\winnt\system32\prefmon.exe 良い方法がありましたらご教授お願いします。
- 締切済み
- Windows NT・2000
お礼
Haizyさんいつも有難う御座います。 NIMDAの存在は知っていたのですが、NIMDAの情報が不足していました。 一応アクセスに対して"404Not found"を返しているので大丈夫だとは思うのですが 念の為、パッチなどの再確認を行いたいと思います。 何せ、回線が滅茶苦茶重く、このページも表示するのに1時間は掛かります・・・
補足
ようやくパッチを当て終わりました。 色々有難う御座いました。