CODERED.Aについて

アタックを受けた場合、
IISログに、XXXXXXXXXXXXXXXXXXXXX
や、NNNNNNNNNNNNNNNNNNNNNNNNNNN
が出力されるのはわかったのですが
AAAAAAAAAAAAAAAAAAAAAAAAA
というログが最近出ています。
正確には下記のようなログです。
これもCODERED.Aでしょうか。
それともチェックツールにてスキャンニングでもした結果でしょうか。

14:01:52 ●●●.●●●.●●●.●●● - GET /x.ida AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=X 200 752 - - -

No.2 ベストアンサー 回答者： gold8 回答日時： 2001/08/11 01:50

こんばんわ。

９日の内容をみて、あれっと思ったのですが、どこにも情報がなくなんだろうと思ってました。
今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」とでてるので、いろいろサイトをみてみましたが、
特に情報は発信されてません。

そこで、ログを大至急確認してほしいのですが、文字列「AAAA・・・・/ランダムな数値と文字」のあとに、HTTP 1.x のあとに、「404」とでてますか？

「404」 とでてればワーム攻撃から失敗したと解釈できるのですが、もしそうでなければ、感染の可能性があります。

セキュリティサイトに、CODERED(2)のスクリプトが掲載されている URL を添付しますので、参考にして下さい。
その内容をみていただいて、なんらかの判断材料として利用していただければいいのですが．．．

参考URL：http://www.unixwiz.net/techtips/CodeRedII.html

この回答へのお礼

え、CODERED.A３も出たのですか？
もういいかげんにして欲しいですね。
アタックをかけてくるIPアドレスをログから調べていくと、
大抵、韓国か中国のマシンなんです。
対策が遅れてるんですかねぇ～。
情報ありがとうございました。

お礼日時：2001/08/11 13:23

No.3 回答者： gold8 回答日時： 2001/08/11 19:29

今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」

＞今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」

CODEREDIII は誤報の可能性があるとのこと。（詳細はまだ不確定らしいです．．．）

とりあえずお知らせしときます。どこもかしこも混乱してますね。

それと、ログの内容はどうでした？無事だったでしょうか？

この回答へのお礼

う～ん、感染の有無は正直よくわかりません。一応皆様からの情報を元に、
チェックツールや除去ツール等を試してみましたが、どれもこれも、
大丈夫、としか結果はでません。これ以上は調べようもないので、まあ、もう
気にしないようにします。今でもアタックログは毎日出力されているのですが。
万が一の為に、一応BukUPは済ませましたので、もう、来るならこいっ！って
感じです。
いろいろ情報、ありがとうございました。

お礼日時：2001/08/12 14:27

No.1 回答者： h_hikita 回答日時： 2001/08/09 22:52

回答ではないのですが、もし複数の異なったIPアドレスからスキャンが

かかっているようであれば、利用しているプロバイダのサポート窓口に
ログを送るのが良いかとおもいます。

あと、dshieldでもログを収集しているようなので

grep 'default.ida' access_log | mail -s 'APACHE' redalert@dshield.org

とかして、ログを送ると良いと思います。

参考URL：http://www.dshield.org/codered.html

この回答へのお礼

はい、早速プロバイダーにもログを送付したのですが、アタックしてくるには
ほぼ、海外からなんです。おそらくプロバイダーもどうしょうもないのでは、
と思ってしまいます。まったく迷惑な話ですね。
ありがとうございました。

お礼日時：2001/08/11 13:27