- ベストアンサー
REDCODEですが、重複していたらすいません。
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
>ところで、実際修復されたのかが不明でしたので困っています。 >駆除されたかどうかの判断をしたいのですがどうしたら良いのですか? >Firewallが有りますが、Webサーバーのアクセスログに未だCODEREDのログが出てくるのですが。。。 駆除ソフト&CodeRedチェッカーでOKなら、「CodeRed」は駆除出来ているかと思われます。 それ以外のバックドア等の保証は出来ませんが #2でもお答え致しましたが、CodeRed自体のアクセスはサーバー等関係なく、グローバルIPが振られている機器全てにアクセスがあると思いますので、気にすることではないです。 単純にCodeRedがちゃんと駆除できたかを調べる方法としては、コマンドプロンプトから netstat -an と入力し TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列] というのが出てくるのであれば、まだ感染している可能性が高いです。 もちろん、ブラウザでどこかのホームページを開いている最中に実行したら意味ないですが・・・ 更に厳密に調べたいのであれば、sniffer等のパケットキャプチャできるソフトウェアなどで調べてみてはどうでしょうか? 以上、参考までに
その他の回答 (4)
#4 hequilさんの補足ですが、 >netstat -an >と入力し >TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列] >というのが出てくるのであれば、まだ感染している可能性が高いです。 > CodeRed2であれば、感染してから24時間(日本語環境)しか攻撃を行わないそうなので、 これではチェックできません。 8/4以降に感染に気付いたのであれば、CodeRed2に入られた可能性が高いので、 CodeRed2の対処が必要でしょう。 hashさんのページがかなり詳しい情報を公開していますので、一度みてみては。 (参考URLはCodeRed2に関するもの)
お礼
回答有難う御座います。 私もうっかりしていましたが、昨日のログに NNNNNNNNNNNNNNNNNNNNNNNNNNN と XXXXXXXXXXXXXXXXXXXXXXXXXXX の両方がありました。 と言う事はCode Red & Code Red(2)の両方から攻撃を受けているのですね。。。 参考URLで見る限り「root.exe」は消した方が良いのですね。(消さないと意味が無いのですね)
補足
あれから2日後ですが、 netstat -an TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列] は無くなりました。 解決したものと判断します。 皆様有難う御座います。
- mkii
- ベストアンサー率40% (43/105)
NTなんでCodeRedですよね。 シマンテックからCodeRedの駆除ツールが出ていますよ。
お礼
有難う御座います。 良く見たら「REDCODE」って書いてましたね(^^;;お恥ずかしい・・・ この駆除ツールも試したのですが・・・
- hequil
- ベストアンサー率65% (242/372)
CodeRedですよね?(^^;; 一応Microsoftを始め、各ベンダーが対策を書かれていますが、一度感染したら面倒でもOSの再インストールしたほうが良いです。 というのも、CodeRedII(CodeRed.v3)と呼ばれるタイプだと、別途バックドアを仕掛けられている可能性もありますので。 あと、感染してなくてもアクセスそのものをなくすことは当分難しいかと思います。 なくそうと思えば世界中のIISがちゃんと対策をしない限りアクセスがなくなることがありませんから。 勿論私の管理下のサーバーも公開時から該当のパッチ当てていましたが昨日、一昨日と日に数千回ほどCodeRed絡みのアクセスがありました(泣) 感染しなくても、これだけの数になるといい迷惑ですよね
お礼
回答有難う御座います。 Webサーバー・Mailサーバー・Faileサーバー兼用の為、今すぐOSを入れ替える対応は難しいです。 でも入れ替えした方が良いのは分かります。 一度SIとも相談してみます。 ところで、実際修復されたのかが不明でしたので困っています。 駆除されたかどうかの判断をしたいのですがどうしたら良いのですか? Firewallが有りますが、Webサーバーのアクセスログに未だCODEREDのログが出てくるのですが。。。 しかしSymantecなどのCODEREDチェックプログラムでは大丈夫と出ます。 すいませんがもう少しお助け願います。
補足
すいません併せて質問させて頂きます。 トロイの木馬の停止、及び再起動の予防方法ですが、 そもそもExplorer.exeは1個しか動いていませんでした。 そしてC:\Program Files\Common Files\system\MSADC内のroot.exeですが、 エクスプローラー上から削除できます。 読取専用や他のアプリケーションが使用しています。 などの表示が出ずに消せます。 そもそも最初から有ったファイルなのですか? 消しても良いのですか? すいませんがご教授願います。
- mentama
- ベストアンサー率18% (55/299)
やられたあと、パッチを当てても元に戻らないと思います。 マイクロソフトのサイトの対策を見て、駆除しましょう。
お礼
有難う御座いました。 ずっとこのページを見ながら対応しています。 それでも、実際修復されたのかが不明でしたので困っています。 駆除されたかどうかの判断をしたかったのです。
関連するQ&A
- 不安なので教えて頂きたいです
最近IPアドレスが勝手に変えられていたりしていて不安でOSをクリーンインストールしました(win2kです)。 ネットワークに繋げずにSP4までアップデートして ドライバ等をインストしてから、 セキュリティの為にノートンインターネットセキュリティをインストールしようとしたところ、 「インストールのシステムが壊れているか、ウィルスに感染しているおそれがあります。」 と出ました(インストできませんでした)。 他のフリーのウィルス検出ソフトも同じ警告が出てインストできませんでした。 オンラインのウィルスチェックをしたくてもネットにファイアウォールなしでつなぐのは怖いです。 どうすればよいでしょうか、レジストリやWINのファイルのことについては 全然詳しくないので見方などわからずどれがウィルスか見当がつきません。 教えて頂けると幸いです、どうぞよろしくお願い致します。 以下は HijackThis で出てきたログです。 Logfile of HijackThis v1.99.1 Scan saved at 23:40:58, on 2006/05/07 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\imejpmgr.exe C:\WINNT\system32\Internat.exe C:\WINNT\system32\conime.exe D:\b\dl\セキュリティ関連\hijackthis\HijackThis.exe
- 締切済み
- ウィルス・マルウェア
- オプションディレクトリのいくつかが無効?
オプションディレクトリのいくつかが無効? Windows NT 4.0 (sp6a)をVitual PCにインストールしようと思い、Winnt32.exeを起動し、正しいパスを入力したのですが 「指定されたオプション ディレクトリのいくつかが向こうか、またはアクセスできません。」と表示されました。 ちゃんと正しいパスを入力したのですが.....回答お願いします
- ベストアンサー
- Windows NT・2000
- Access97のテキストインポート
Access97でテキストファイルのインポートができません。 現象は… ・インポートのファイルの種類でテキストを 選択できません(ありません) ・インストール時に データアクセス>データベースドライバ では、テキスト・HTMLにチェックがついており、 セットアップ済みとなっています。 環境はWin98+Office97proです。 これは他の方の質問から引用しましたが、私も全く同じ状況です。そして、この解決法が下記の通りでした。 ================ バージョンを確認したところ、SR1であったため、 of97y2k.exeをあて、SR2にしました。(この段階では解決せず) 次に、Jet35sp3.exeを当てました(まだ解決せず) 次に、dataacc.exeを当てました。この段階で解決しました。おそらくdataacc.exeを当てるだけでOKと思います。 ================ ここで問題なのは、このdataacc.exeとやらはどこで入手したら良いのかという事です。Microsoftのダウンロードサイトは見つけられませんでした。(探し方が悪いのかもしれません。)ちなみにof97y2k.exeとJet35sp3.exeはY2Kの時にダウンロードしてCD保管しています。
- ベストアンサー
- オフィス系ソフト
- apacheのログでこんなの出たんですけど…
apacheのログで3日ほど前から以下の様なアクセスが いろいろなIPアドレスから来るのですが 何をやろうとしているのでしょうか? 211.196.98.124 - - [20/Sep/2001:03:32:52 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 403 280 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 403 278 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:53 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 288 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:54 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 319 中略 211.196.98.124 - - [20/Sep/2001:03:32:57 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 281 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 211.196.98.124 - - [20/Sep/2001:03:32:58 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 403 302 なんとなくdirコマンドでCドライブの内容を調べようとしているのはわかるのですが… 環境はWinNT4.0sp4 apache 1.3.20です。 あと、エラーコード(?)の403と404は知っているのですが 400はどういう意味なのでしょうか? また何か問題はあるのでしょうか?
- 締切済み
- ネットワーク
- カバリーコンソールでWinnt.exeを実行したい
Windows 2000 Server SP4(英語) を使用しています。 この度、起動中にエラーが出て、ログイン画面までたどり着けなくなってしまい、ブートCDからリカバリーコンソールを選択したのですが、その後の作業で行き詰まっています。 以前I386ディレクトリをCDからハードディスク内にコピーしたことがありそれがまだ残っていたので、とりあえず、その中にあるWINNT.EXEを実行してみようと思い立ちました。 しかし、 c:\w2k\i386> というラインからWINNT.EXEと打っても The command is not recognized Type HELP for a list of supportted commands. と出ます。 どのようにしてファイルを実行させるのでしょうか?
- ベストアンサー
- Windows NT・2000
- ウィルスが、削除後もエラーダイアログを出しています
http://oshiete1.goo.ne.jp/qa3526997.html 上記で質問させていただいたものです。 VTTray.exeというマルウェアを不審に思って主導で削除 その後、avast!にてブートからチェックを行い、 おそらく完全に削除できたものと思っております。 しかし、その後もwindows起動時に "C:\winnt\VTTray.exe指定パスにアクセスできません。" といったログが表示されます。 この表示を出ないようにすることは出来ますでしょうか? 必要かはわかりませんがスペックです。 【PC】IBM・X22 【OS】win2000sp4 【アンチウィルス】avast!(ホームエディション) 【FW】Jetico
- ベストアンサー
- Windows NT・2000
- accessクエリでのデータ重複について
お世話になります。 ACCESSクエリにてデータが重複してしまします。 SQL表示にて、SELECTの後、DISTINCTやDISTINCTROWを 加えましたが、それでも重複してしまいます。 何故なのでしょうか。 どなたか良い解決方法をお教え頂きたく宜しくお願い 致します。
- ベストアンサー
- Visual Basic
- DAEMON Toolsのインストールができません!
DAEMON Tools 4.08-x64を導入しようと インストールを行っているときに選択のボタンの意味が わからなくなり、キャンセルしてもう一度最初から2回ぐらい くりかえしていると実行ボタンをおしても 赤のまる×で「This platform is notsupported.」 と次に進むことができません。 そして、別のバージョンdaemon403-x86.exeを試してみると iマーク「You must reboot after previous operation.」 同じく次に進むことができませ。 これはどのように対処すれば良いのでしょうか お詳しい方、わかりやすく教えてくださればありがたいです。 すみませんが、よろしくお願いいたします。
- 締切済み
- フリーウェア・フリーソフト
- shutdownコマンドが利きません
solaris9 shutdownコマンドを入力しても落ちません。 #から shutdown -y -g0 -i5 (or -i6 or -i0) を入力すると、Beep音は発生するのですが、いつまでたっても状態は#のままです。 init も0,5,6とも同じです。 rebootコマンドは利くので、reboot→Openbootが上がってきたところをstop-aで止めて電源を落としています。 なにか良い解決策ございましたらご教示ください。
- 締切済み
- Solaris系OS
- サーバのログについて
個人で勉強目的でサーバを立てているんですが ちょっと前から不審なアクセスが目に付きます。 具体的には /default.ida XXXXXXXXX(中略)%u0078%u0000%u00=a や /c/winnt(中略)/cmd.exe /c+dir 等のログが残るんですけどいかにも悪意あるアクセスって感じがしますがこれは何なんでしょう? サービス拒否攻撃ってほど頻繁にくるわけではないですし、NIMDAやCodeRedと関係あるのでしょうか?それともただ単に攻撃されてるだけでしょうか? ちなみに攻撃してくるIPは自分と似たIPが多いです。(IPは毎回違いますが最初の8ビットが同じ場合が多い) それとウィルススキャンでウィルスは検出されませんでした。 セキュリティーに詳しい方々の意見を伺いたいです。 お願いします。 環境 win2000server sp2+その後の各種パッチ IIS5.0 ZoneAlarm ノートンアンチウィルス
- ベストアンサー
- その他(インターネット接続・通信)
お礼
回答有難う御座います。 試しにFirewallで「netstat -an」と入力したら TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列] が2行出てきました。 その2行のIPをブラウザで調べたら「IPA」でした。 もちろん誰もそのページを見ていません。 やはり未だ駆除出来ていないのでしょうか? 無理言ってすいませんが宜しくお願い致します。 PS:snifferも調べましたが30万は出してもらえそうに有りません(^^;