• ベストアンサー

http://www.worm.com/って何ですか

NTサーバーでリンク切れを検出しているのですが、07/20~下記のようなログがあります。数10分おきです。これは何でしょう?? http://www.worm.com/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN(中略)NNNNNNNNNNNNNNNNNNNNN%u9090%u6858%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

質問者が選んだベストアンサー

  • ベストアンサー
  • h_hikita
  • ベストアンサー率40% (104/257)
回答No.1

リンク切れではなくて、code red wormの攻撃です。 7/20ごろと、今回7/31~二回ぐらいに分かれるはずです。 worm自体はメモリー上にいるので、侵入された場合でも 再起動すれば一旦消えます。(ネットに接続されていると 即座に再侵入されますけど...) NT4の場合 service pack6aまで上げて "Windows NT 4.0 Post-Service Pack 6a Security Rollup Package"を適用してください。 http://www.microsoft.com/ntserver/sp6asrp.asp Code RED worm自体についての詳細は、http://www.incidents.org から たどれると思います。 # 今8/3AMで26万台感染、毎時4000台の割合で増えてます。(-_^;

s-holmes
質問者

お礼

回答ありがとうございました。 取り急ぎ対策をせねば・・・。 #無知がお恥ずかしい。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • "Code Red"Worm の感染?

    自社Webサーバー(WinNT 4.0 SP6a:Apache)を利用してます。 最近下記のログが異様に出ています。 このサイト履歴から参考にして、各社からでているツールでチェックしても、”idq.dllが存在していないから、このワームからプロテクトされている”見たいなものが出ますが、本当に信じてよいのでしょうか? また、このエラーは8/1からでていて、昨日マイ○ロソフトから出ている差分パッチを当てて、さらに、修正プログラムでレジストリーに追加するようなq300972を入れておきました。 その後でも、下記のエラーは出ています。これは、単に隙が無いか探りを入れているだけでしょうか?教えてください。 62.○72.142.55 - - [09/Aug/2001:04:47:18 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 333 211.0.○34.187 - - [09/Aug/2001:05:07:43 +0900] "GET /default.ida?xXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 286

  • Webサーバのログで・・・

    8/19 10:50前後に、Webサーバに怪しいログが残っていました。 (省略) GET, /NULL.IDA, CCCCCCCCCCCCCC(中略)CCCCCCCCCCC%u0aeb%ub890... (以下略) というなんともCODEREDまがいなログが残っています。 (NNNN... XXXX... は、いつも見かけるのですが) 戻り値は、エラー404 で特に問題は無いのですが。 お恥ずかしいことに、前任者から引き継いだばかりで、ウィルス対策ソフトの「ライセンス証書が見あたら無い」という状態で問い合わせもできなく難儀しております。 同様のWeb管理者様や、既知のワーム・新種で発表された等何かあったら教えてください。

  • サーバのログについて

    個人で勉強目的でサーバを立てているんですが ちょっと前から不審なアクセスが目に付きます。 具体的には /default.ida XXXXXXXXX(中略)%u0078%u0000%u00=a や /c/winnt(中略)/cmd.exe /c+dir 等のログが残るんですけどいかにも悪意あるアクセスって感じがしますがこれは何なんでしょう? サービス拒否攻撃ってほど頻繁にくるわけではないですし、NIMDAやCodeRedと関係あるのでしょうか?それともただ単に攻撃されてるだけでしょうか? ちなみに攻撃してくるIPは自分と似たIPが多いです。(IPは毎回違いますが最初の8ビットが同じ場合が多い) それとウィルススキャンでウィルスは検出されませんでした。 セキュリティーに詳しい方々の意見を伺いたいです。 お願いします。 環境 win2000server sp2+その後の各種パッチ IIS5.0 ZoneAlarm ノートンアンチウィルス

  • ApacheのAccess.logで質問

    回線をADSLにしてからApacheのAccess.logに不明なログが残るように なったのですが、ログ内容が意味不明でわかりません、 ログは以下の通りです。(IPは伏せておきます) xxx.xxx.xxx.xxx - - [09/Sep/2010:22:55:43 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 401 464 何か専用ソフトでアクセスしているのでしょうか?? ステータスは401なんで 進入はされていない模様ですが。 1日に違うIPから20~50件ぐらい残ります。 ご存知の方、よろしくお願いします。

  • vulnerable to be CodeRed wormとは

    シマンテックのCodeRedチェックソフトでNTサーバーをチェックしてみましたが、その結果は下記。 your computer dose not appear to be vulnerable to be CodeRed worm 英語なので意味がいまいち確信できません。 情けない質問ではありますが、ご教授いただけないでしょうか。

  • WORM_WITTY.A に感染した?

    パソコン2台使ってます。Win98の方はウイルスバスター2004にアップデートして使っていたのですが、Win XPの方は2003のままでした。今日、Win98の方でWORM_WITTY.Aが発見されました。検索にはかからないので、感染しているのかどうかがわかりません。 このワームについて下記ページに概要があり、見たのですが、どう対処したらいいのか分からなくて…。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_WITTY.A http://www.isskk.co.jp/support/techinfo/general/Witty_167.html Win98では、警告が出た後、上記のページを見て、その後電源を落とし、再起動しました。今のところ特に異常はないようです。 その後、ウイルスバスターのファイアーウォールのログを見たら、確かに送信元がUDPポート4000になってました。 ふと気が付いて、XPの方を立ち上げてログを見ると、22日の時点で、UDPポート4000からの不正アクセスがいくつもあるのです。ところが、ウイルスバスター2003だったため、警告がなく、ワームがアクセスしている間中ずっとポート開けっ放しだったようです。 そういえば、ここ2~3日、XPのハードディスクがカタカタ言うので変だと思っていたのですが、この音はウイルスと関係ありますか? また、「 Wittyワームは、以下に挙げた特定のバージョンのPAMを持つWindows版にのみ感染します。」という説明なのですが、自分のパソコンがどのバージョンなのかを知るにはどうしたらいいのでしょうか?そもそもBlackICEとかRealSecureというのがなんなのかさっぱりわかりません。 感染しているかどうか、どうやったらわかりますか? 感染しているとしたら、どうしたらいいでしょうか?

  • worm mugly.i について

    パソコン初心者です。どなたか情報いただけたら幸いです。http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MUGLY.I ファイルを解凍したら感染してしまったようで困っています。上記方法を試しているのですが、レジストリエディタというものでそれらしきものを削除してもすぐに再生されてしまいます。それらしきものはp2pnetwork.exeという名前になっています。 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 上記のプログラムも試しましたが、検出はするようなのですがログには削除に失敗したと残っています。 現在の症状としては、パソコンの起動時に変なウィンドウが立ち上がることと、PCの動作も遅くなるという症状です。また不明なZIPファイルを大量に生成したりしています。今はLANケーブルをはずしています。 何かよい方法はありませんでしょうか?

  • 『 WORM_RBOT.AN 』というウィルスに感染してしまいました。

    とある掲示板で「このサイト便利だよ~」って書いてあるのを見つけて、不用意にもサイトに飛んでしまったら、ウィルスサイトだったようです。。。 トレンドマイクロのウイルスバスターオンラインスキャンを使ったら、『 WORM_RBOT.AN 』というウィルスが検出されました。 そこから対策サイトに飛ぶと、英語版のトレンドマイクロで、 http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAN&VSect=Sn そこに書いてあるとおり、タスクマネージャーでのプロセス終了および レジストリの削除&変更を行いました。 その後、もう一度 ウィルススキャンをしたのですが、同じウィルスが まだ検出されてしまいます。 あと、ウィルススキャンではウィルスの場所が、 C:\WINNT\SYSTEM32\WINUPDATE.EXE と表示されるので、ハードディスク内を調べてみるのですが、このファイルは見つかりません。 OSはWINDOWS2000SP4です。 どなたか、アドバイスがありましたらよろしくお願いします!

  • e450.voice.microsoft.comが遮断されました

    先日、普段どおりにMSNメッセンジャーを起動したのですが、Norton internet Worm Protectionからの警告が入ってきました。その時の活動のログを見ると ・ルール「Default Block DeepThroat Trojan horse」がe450.voice.microsoft.com(IPは一応省略します)、2140を遮断しました インバウンド UDP パケット ローカルアドレス、サービスは(自分のPC名とIP、2140) リモートアドレス、サービスは(e450.voice.microsoft.com(IP)、7001) プロセス名は"N/A" ・侵入検知がDefault Block DeepThroat Trojan horseトロイの木馬を検出して遮断しました。 e450.voice.microsoft.com(IP)とのすべての通信は30分にわたって遮断されます。 の二つがありました。 e450.voice.microsoft.comはメッセンジャーの音声チャット関連のものだと思うのですが、それがあえて遮断される理由がわかりません。 単なる誤検出、ということで安心してよいのでしょうか。それ以前も以降も何度かメッセンジャーにログインしていますが同じ警告は出てきません。 特に音声チャットを使用する機会は無いのですが、この症状の解消方法などもあれば、おねがいします。 OSがXP SP2。ノートンはNorton AntiVirus2005で、定義ファイルは最新。MSNメッセンジャーのバージョンは7.0です。 よろしくお願いします。

  • google.co.jpが、自動的にwww.google.com/ig?hl=janの英語画面になってしまう

    Gmailを利用したときからだと思うのですが、www.google.co.jpへのリンクが貼ってあるサイトをクリックしても、www.google.co.jpを手入力しても自動的にhttp://www.google.com/ig?hl=janの英語画面になってしまうのです。  ブラウザはFFですが、IEからでも同じです。 Gmailをログオフしても同じです。 元にもどすにはどうしたらよいでしょう。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する