- ベストアンサー
CODERED.Aについて
アタックを受けた場合、 IISログに、XXXXXXXXXXXXXXXXXXXXX や、NNNNNNNNNNNNNNNNNNNNNNNNNNN が出力されるのはわかったのですが AAAAAAAAAAAAAAAAAAAAAAAAA というログが最近出ています。 正確には下記のようなログです。 これもCODERED.Aでしょうか。 それともチェックツールにてスキャンニングでもした結果でしょうか。 14:01:52 ●●●.●●●.●●●.●●● - GET /x.ida AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=X 200 752 - - -
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
こんばんわ。9日の内容をみて、あれっと思ったのですが、どこにも情報がなくなんだろうと思ってました。 今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」とでてるので、いろいろサイトをみてみましたが、 特に情報は発信されてません。 そこで、ログを大至急確認してほしいのですが、文字列「AAAA・・・・/ランダムな数値と文字」のあとに、HTTP 1.x のあとに、「404」とでてますか? 「404」 とでてればワーム攻撃から失敗したと解釈できるのですが、もしそうでなければ、感染の可能性があります。 セキュリティサイトに、CODERED(2)のスクリプトが掲載されている URL を添付しますので、参考にして下さい。 その内容をみていただいて、なんらかの判断材料として利用していただければいいのですが...
その他の回答 (2)
- gold8
- ベストアンサー率31% (60/191)
今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」 >今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」 CODEREDIII は誤報の可能性があるとのこと。(詳細はまだ不確定らしいです...) とりあえずお知らせしときます。どこもかしこも混乱してますね。 それと、ログの内容はどうでした?無事だったでしょうか?
お礼
う~ん、感染の有無は正直よくわかりません。一応皆様からの情報を元に、 チェックツールや除去ツール等を試してみましたが、どれもこれも、 大丈夫、としか結果はでません。これ以上は調べようもないので、まあ、もう 気にしないようにします。今でもアタックログは毎日出力されているのですが。 万が一の為に、一応BukUPは済ませましたので、もう、来るならこいっ!って 感じです。 いろいろ情報、ありがとうございました。
- h_hikita
- ベストアンサー率40% (104/257)
回答ではないのですが、もし複数の異なったIPアドレスからスキャンが かかっているようであれば、利用しているプロバイダのサポート窓口に ログを送るのが良いかとおもいます。 あと、dshieldでもログを収集しているようなので grep 'default.ida' access_log | mail -s 'APACHE' redalert@dshield.org とかして、ログを送ると良いと思います。
お礼
はい、早速プロバイダーにもログを送付したのですが、アタックしてくるには ほぼ、海外からなんです。おそらくプロバイダーもどうしょうもないのでは、 と思ってしまいます。まったく迷惑な話ですね。 ありがとうございました。
お礼
え、CODERED.A3も出たのですか? もういいかげんにして欲しいですね。 アタックをかけてくるIPアドレスをログから調べていくと、 大抵、韓国か中国のマシンなんです。 対策が遅れてるんですかねぇ~。 情報ありがとうございました。