プロが教える店舗&オフィスのセキュリティ対策術

CODERED.A

解決済

  • 質問者:saya9999
  • 質問日時:
  • 回答数:4

フレッツISDNで、Win2000Serverをつなぎっぱなしにしています。
どうやらCODERED.Aのアタックを受けているらしいのですが、ログをみると
PCを落としている時間にログがはかれています。どういうことなのでしょうか?
一応最新のパッチをあて、トレンドマイクロ社のツールでチェックをしたのですが、それが昨日のことなので、もしかしたら感染しているかも、と心配です。
感染しているかどうか、どうすれば明確にできますか?トレンドマイクロ社のチェックツールでは大丈夫だというメッセージが出ているのですが、いろんな亜種も出ているようなので、それを信用していいのでしょうか。参考までにIISログを掲載しておきます。
http://www.geocities.co.jp//HeartLand-Cosmos/422 …

通報する

この質問への回答は締め切られました。

質問の本文を隠す

A 回答 (4件)

No.1

  • 回答者: Haizy
  • 回答日時:

こんにちは。



Code Red II

ってヤツですね。ウチもバタバタしてます。
感染はしてないけど・・・。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=115074
からの引用ですが、非常に役に立つと思います。>参考URL

参考URL:http://winsec.toranoana.ne.jp/
    • good
    • 0
通報する
この回答へのお礼

ご回答ありがとうございました。
いろいろご提示頂いた情報を辿って調べてみました。
でも迷惑な話ですよねー。誰が作ったんでしょ。

通報する
お礼日時:2001/08/09 00:55

No.2

  • 回答者: selenity
  • 回答日時:

IISのログが残っているようなので、十中八九


感染しているでしょう。
最新のパッチではありません。
CodeRed対策は「MS01-033」のパッチを適用し、
OSの再起動をしない限り何度でも感染します。

できればフォーマットしてOSの再インストールを
お薦めします。
(どんなバックドアを仕掛けられたか不明なため)

この手の話はやはり開発元のサイトを
見るのが一番です。

参考URL:http://www.microsoft.com/japan/technet/security/ …
    • good
    • 0
通報する
この回答へのお礼

ご回答ありがとうございます。
う~ん、やはり再インストールですか。
つらいなぁ~。

通報する
お礼日時:2001/08/09 00:52

No.3ベストアンサー

  • 回答者: m_kazu55
  • 回答日時:

最新のパッチをあてていたと言うことですが、「MS01-033」(Q300972_W2k_SP3_x86_ja.exe) をあてていたのであれば、Code Red のアタックを受けても感染することはありません。


逆に「MS01-033」をあてていないでIISログにアタックされた形跡があれば、ほぼ100%感染しています。
コマンドプロンプトより「netstat -an」と入力すると
  TCP 自ホストのIPアドレス:数字 他のホストのIPアドレス:80
が多数表示されて、ワームが活動中(他ホストに対して攻撃中)であることがわかるはずです。

感染していた場合、トレンドマイクロ社のWebサイトに自動駆除ツールがあります。
http://www.trendmicro.co.jp/esolution/solutionDe …

なお、IISログはグリニッジ標準時で記録されるので、日本時間より-9時間で表示されます。
そのため、PCが立ち上がっていない時間にログが取られているように見えます。

参考URL:http://www.microsoft.com/japan/technet/security/ …
    • good
    • 0
通報する
この回答へのお礼

ご助言ありがとうございます。
上記パッチをあてる前のログにもアタックの形跡がありました。
パッチあてでは安心できませんね。バックドアを仕掛けられた可能性大
のようです。ご進言頂いたトレンドマイクロ社のツールを使用してみます。
ですが、やはり万全を期すには再インストールしかないんですかねぇ~。
あ~あ。
あと、ログの件もご説明ありがとうございました。

通報する
お礼日時:2001/08/09 00:50

No.4

  • 回答者: m_kazu55
  • 回答日時:

もし感染していたとしても、すでに駆除済みだと思いますが、念のため感染しているかの見分け方を補足します。



・メモリに常駐しているかの確認
[Ctrl]+[Alt]+[Delete]を押して[タスクマネージャー]の「プロセス」に「explorer.exe」というプロセスが2つある場合は、どちらかが「CODERED.C」です。

・ファイルに感染しているかの確認
コマンドプロンプトから、「attrib c:\explorer.exe」と入力して
「 SHR EXPLORER.EXE C:\EXPLORER.EXE」
が戻ってきた場合は、ファイル感染してます。
    • good
    • 0
通報する
この回答へのお礼

ご回答、ありがとうございます。
幸いにもどちらも存在しませんでした。

通報する
お礼日時:2001/08/09 00:46

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

Q質問する(無料)

関連するカテゴリからQ&Aを探す

ページトップページトップ

Q質問する(無料)

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

おすすめ情報