WinNT4ですが、REDCODEに侵されたので
最初にSP6aを当て、
その次にJPNQ300972i.exeとJPNQ299444i.exeとarbexeis.exeとarbexei.exeを当てました。
もちろんその都度リブートもしています。
しかし、その後もアクセスは続いています。(回数は減りましたが)
どうしたら良いのでしょうか?

すいませんが大変困っています。
盆休みに入る前に解決したいです。。。
宜しくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (5件)

>ところで、実際修復されたのかが不明でしたので困っています。


>駆除されたかどうかの判断をしたいのですがどうしたら良いのですか?
>Firewallが有りますが、Webサーバーのアクセスログに未だCODEREDのログが出てくるのですが。。。

駆除ソフト&CodeRedチェッカーでOKなら、「CodeRed」は駆除出来ているかと思われます。
それ以外のバックドア等の保証は出来ませんが

#2でもお答え致しましたが、CodeRed自体のアクセスはサーバー等関係なく、グローバルIPが振られている機器全てにアクセスがあると思いますので、気にすることではないです。

単純にCodeRedがちゃんと駆除できたかを調べる方法としては、コマンドプロンプトから

netstat -an

と入力し

TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]

というのが出てくるのであれば、まだ感染している可能性が高いです。
もちろん、ブラウザでどこかのホームページを開いている最中に実行したら意味ないですが・・・

更に厳密に調べたいのであれば、sniffer等のパケットキャプチャできるソフトウェアなどで調べてみてはどうでしょうか?

以上、参考までに
    • good
    • 0
この回答へのお礼

回答有難う御座います。
試しにFirewallで「netstat -an」と入力したら
TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
が2行出てきました。
その2行のIPをブラウザで調べたら「IPA」でした。
もちろん誰もそのページを見ていません。
やはり未だ駆除出来ていないのでしょうか?
無理言ってすいませんが宜しくお願い致します。
PS:snifferも調べましたが30万は出してもらえそうに有りません(^^;

お礼日時:2001/08/10 10:45

#4 hequilさんの補足ですが、


>netstat -an
>と入力し
>TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
>というのが出てくるのであれば、まだ感染している可能性が高いです。
>
CodeRed2であれば、感染してから24時間(日本語環境)しか攻撃を行わないそうなので、
これではチェックできません。
8/4以降に感染に気付いたのであれば、CodeRed2に入られた可能性が高いので、
CodeRed2の対処が必要でしょう。


hashさんのページがかなり詳しい情報を公開していますので、一度みてみては。
(参考URLはCodeRed2に関するもの)

参考URL:http://www.reasoning.org/jp/security_alerts/hash …

この回答への補足

あれから2日後ですが、
netstat -an
TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
は無くなりました。
解決したものと判断します。
皆様有難う御座います。

補足日時:2001/08/13 08:33
    • good
    • 0
この回答へのお礼

回答有難う御座います。
私もうっかりしていましたが、昨日のログに
NNNNNNNNNNNNNNNNNNNNNNNNNNN

XXXXXXXXXXXXXXXXXXXXXXXXXXX
の両方がありました。
と言う事はCode Red & Code Red(2)の両方から攻撃を受けているのですね。。。
参考URLで見る限り「root.exe」は消した方が良いのですね。(消さないと意味が無いのですね)

お礼日時:2001/08/10 11:54

NTなんでCodeRedですよね。


シマンテックからCodeRedの駆除ツールが出ていますよ。

参考URL:http://netnavi.nikkeibp.co.jp/news/navinews/2001 …
    • good
    • 0
この回答へのお礼

有難う御座います。
良く見たら「REDCODE」って書いてましたね(^^;;お恥ずかしい・・・
この駆除ツールも試したのですが・・・

お礼日時:2001/08/10 08:41

CodeRedですよね?(^^;;


一応Microsoftを始め、各ベンダーが対策を書かれていますが、一度感染したら面倒でもOSの再インストールしたほうが良いです。

というのも、CodeRedII(CodeRed.v3)と呼ばれるタイプだと、別途バックドアを仕掛けられている可能性もありますので。

あと、感染してなくてもアクセスそのものをなくすことは当分難しいかと思います。
なくそうと思えば世界中のIISがちゃんと対策をしない限りアクセスがなくなることがありませんから。

勿論私の管理下のサーバーも公開時から該当のパッチ当てていましたが昨日、一昨日と日に数千回ほどCodeRed絡みのアクセスがありました(泣)
感染しなくても、これだけの数になるといい迷惑ですよね

この回答への補足

すいません併せて質問させて頂きます。
トロイの木馬の停止、及び再起動の予防方法ですが、
そもそもExplorer.exeは1個しか動いていませんでした。
そしてC:\Program Files\Common Files\system\MSADC内のroot.exeですが、
エクスプローラー上から削除できます。
読取専用や他のアプリケーションが使用しています。
などの表示が出ずに消せます。
そもそも最初から有ったファイルなのですか?
消しても良いのですか?
すいませんがご教授願います。

補足日時:2001/08/10 09:22
    • good
    • 0
この回答へのお礼

回答有難う御座います。
Webサーバー・Mailサーバー・Faileサーバー兼用の為、今すぐOSを入れ替える対応は難しいです。
でも入れ替えした方が良いのは分かります。
一度SIとも相談してみます。
ところで、実際修復されたのかが不明でしたので困っています。
駆除されたかどうかの判断をしたいのですがどうしたら良いのですか?
Firewallが有りますが、Webサーバーのアクセスログに未だCODEREDのログが出てくるのですが。。。
しかしSymantecなどのCODEREDチェックプログラムでは大丈夫と出ます。
すいませんがもう少しお助け願います。

お礼日時:2001/08/10 08:39

やられたあと、パッチを当てても元に戻らないと思います。


マイクロソフトのサイトの対策を見て、駆除しましょう。

参考URL:http://www.microsoft.com/japan/technet/security/ …
    • good
    • 0
この回答へのお礼

有難う御座いました。
ずっとこのページを見ながら対応しています。
それでも、実際修復されたのかが不明でしたので困っています。
駆除されたかどうかの判断をしたかったのです。

お礼日時:2001/08/10 08:31

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

QNMAIN.EXE、EXPLORER.EXE、CCAPP.EXEというアプリケーションの通信について

いつもお世話になっています。
先日、Outpostに

アプリケーション→NMAIN.EXE
リモートホスト→crl.verisign.com
リモートポスト→HTTP
方向→送信
プロトコル→TCP

アプリケーション→CCAPP.EXE
リモートホスト→crl.verisign.com
リモートポスト→HTTP
方向→送信
プロトコル→TCP

アプリケーション→CCAPP.EXE
リモートホスト→n/a
リモートポスト→HTTP
方向→不明
プロトコル→TCP

アプリケーション→CCAPP.EXE
リモートホスト→crl.verisign.com
リモートポスト→HTTP
方向→送信
プロトコル→TCP

アプリケーション→EXPLORER.EXE
リモートホスト→crl.verisign.com
リモートポスト→HTTP
方向→送信
プロトコル→TCP

アプリケーション→EXPLORER.EXE
リモートホスト→crl.verisign.com
リモートポスト→n/a
方向→不明
プロトコル→TCP
と表示されました。
検索してみたら、NMAIN.EXEとCCAPP.EXEはワームの強
制終了させるプロセスで、セキュリティ関連だと記載
されていたので大丈夫だとは思うのですけど、初めて
見たダイヤログだったので、許可しても大丈夫などう
かわからなくて質問させて頂きました。
これは、許可しても大丈夫なのでしょうか?
この前、Norton AntiVirus2002→NortonAntiVirus2003
に変えたのですけど、何か関係あるのでしょうか?
それと、EXPLORER.EXEはIEのことだと思うのですが、
いつもは“IEXPLORE.EXE”と表示されるので(微妙で
すけど^^;)アプリケーションの名前がなぜ異なる名前
で表示されたのかが疑問です。
OSはXPで、ISDNで1台のパソコンを無線でつないでいま
す。
もし何かご存知の方がいらしたら、ぜひ教えて下さい
・・・!

いつもお世話になっています。
先日、Outpostに

アプリケーション→NMAIN.EXE
リモートホスト→crl.verisign.com
リモートポスト→HTTP
方向→送信
プロトコル→TCP

アプリケーション→CCAPP.EXE
リモートホスト→crl.verisign.com
リモートポスト→HTTP
方向→送信
プロトコル→TCP

アプリケーション→CCAPP.EXE
リモートホスト→n/a
リモートポスト→HTTP
方向→不明
プロトコル→TCP

アプリケーション→CCAPP.EXE
リモートホスト→crl.verisign.com
リモートポスト→HTTP
方向→送信
プロトコル→TCP
...続きを読む

Aベストアンサー

疑問がつきませんね。。ほんの少しだけ調べてみました。

googleでこの件を検索しましたか?
私が調べた範囲ではヒットしました

CCAPP.exeに関しては

http://winfaq.cool.ne.jp/logs/2k/0521.html
ここでよく解説されているのですが outpostで同じ現象が
発生するかどうかは 定かではありませんが 一応
上のURLをみて 以下のサイトをみてください

http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/jp_docid/20021016105344958


やはり初心者の場合許可不許可がわからなくなってくると
思うんです 今のレベルだとoutpostのログの見方も
わからないんではありませんか?
そうだとすればストレスがたまるばかりで outpostに
精通している回答者にすがるしかない感じになってしまい
対応が遅くなってくると思います



http://www.geocities.jp/bruce_teller/outpost/hajime.htm

私は実際つかったことがありませんが、
上ではわからないものは許可しないを選択するように
なっています それで不許可にした場合NAVに異常が
あるかを判定をし シマンテック社に連絡をしていくと
いった手段をとるか わずかな資金で親和性のよいNPFWを導入して
効率良くセキュリテイ面を管理するか あなた自身の問題だと思います シマンテック製品だとはっきりサポ-トが
ついており このサイトでもほとんどのケ-スをわずか数時間で
良回答がきてます。しかしながら無料のoutpostはほとんど
適切な回答を得ていない感じが私にはします。
無料ソフトの場合ある程度技術に自信がある方になってくるような感じがします

 


ご参考まで

疑問がつきませんね。。ほんの少しだけ調べてみました。

googleでこの件を検索しましたか?
私が調べた範囲ではヒットしました

CCAPP.exeに関しては

http://winfaq.cool.ne.jp/logs/2k/0521.html
ここでよく解説されているのですが outpostで同じ現象が
発生するかどうかは 定かではありませんが 一応
上のURLをみて 以下のサイトをみてください

http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/jp_docid/20021016105344958


やはり初心者の場合許可不許可がわからなくな...続きを読む

Qすいませんが

あのーホームページに書いてある、アクセス解析
ってなんですか?教えてください。

Aベストアンサー

いわゆる一般的なアクセス解析とは
訪問者の多いニュース系のサイトとか
話題性のある告発系のサイトの管理者がするもので
うちのサイトはどこそこからよく人がくるなぁ
なんて感慨にふけるために利用します(笑
※例えばあの有名な東芝事件からみのサイトだったら、おそらく東芝関係の会社からの訪問が多くなることでしょう。

続いて良く使われるのは掲示板がらみでしょうか。
アラシや複数ハンドルネームを使い分けている同一人物を見分ける時などに利用されるようです。論争中心のサイトで時々みかけますね。

下の2番さんが回答されているレベルの話はアクセス解析というよりもハッキングレベルの内容ですね。アングラなところをまわらないようにしておくだけでも十分な防衛策になりますよ。但し、それで万全かというとそうでもないでしょうけども。

QActMon.exe

タスクマネージャーのプロセスにでてくるActMon.exeというのは、なんですか?
たまに、問題が発生したためActMon.exeを終了しますというエラーが出ますが、大丈夫なんでしょうか?

使用OSはwindowsXPです。

Aベストアンサー

#1です。

ウィルスバスターなどのウィルス対策ソフトをインストールしていればスパイウェアなどの悪意のあるプログラムが実行されることはありません。

ActMon.exeは検索すると悪意のあるプログラムで、メールのパスワードやクレジットカード情報などオンラインショッピングやオンラインバンキングの情報を第三者に送信するプログラムであると、参考に載せたリンク先に書いてあります。

インターネットをやるのにウィルス対策をしていないというのは、自分の家の中・生活を世間に「どうぞご自由にお使い下さい」とっているようなモノです。

パソコンを再インストール/リカバリーすれば治りますが、ウィルス対策しなければ数分でもとの状態になります。

何も意識せず今までやってきたようですから、安いセキュリティソフトではなくウィルスバスターなどの昔からある対策ソフトを購入してインストールしてください。

以上、今の状態がどれだけ危険であるか分かりましたか?

Qntos.exeの対処について

C:\Windows\system32の中のston.exeというファイルをNOD32がウイルスとして検知します。この対処法について教えて下さい。

環境は、
WindowsXP SP2
ウィルスソフト:NOD32 v2.70.33

行ったこととして、まず、NOD32がston.exeを検知した際に、駆除しました。
それで安心していたのですが、1週間ほど経過した後、また同じston.exeをNOD32が検知しました。

サイト(http://www.viruslistjp.com/viruses/encyclopedia/?virusid=164339)を参考にし、レジストリ内の、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %System%\ntos.exeの【%System%\ntos.exe】をリネームを行ったのですが、パソコンを再起動すると、再び【%System%\ntos.exe】が作成されてしまいます。【%System%\ntos.exe】の記述の削除しても同じでした。


情報がこれだけしかないのですが、よろしくお願い致します。

C:\Windows\system32の中のston.exeというファイルをNOD32がウイルスとして検知します。この対処法について教えて下さい。

環境は、
WindowsXP SP2
ウィルスソフト:NOD32 v2.70.33

行ったこととして、まず、NOD32がston.exeを検知した際に、駆除しました。
それで安心していたのですが、1週間ほど経過した後、また同じston.exeをNOD32が検知しました。

サイト(http://www.viruslistjp.com/viruses/encyclopedia/?virusid=164339)を参考にし、レジストリ内の、HKEY_LOCAL_MACHINE\SOFTWARE\Microso...続きを読む

Aベストアンサー

システムの復元を無効にしてから作業にかからないと、何度でも復元されます。

1.デスクトップ上のマイコンピュータアイコンを右クリックし、プロパティを選択します。
2.システムの復元タブをクリックします。
3.「システムの復元を無効にする」をチェックします。
4.「OK」ボタンをクリックします。
5.再起動を促されますので、「はい」を選択して下さい。

Qrundll32.exeについて

今日はタスクマネージャを見ていると不思議な事にきずきました。
rundll32.exeが3つもあるんですが

これはウィルスですか?
ノートンでウィルスチェックしても何も検出されなかったんだけど
同じものが3つもあるって不安になってきました。
放置してていいものかどうか
何方か教えてください!おねがいします

Aベストアンサー

rundll32.exeはコマンドラインプログラムなので気にする必要はないと思いますが、これを詐称するウイルスもあるので注意が必要です。
「C:\WINDOWS\system32」の中にあるrundll32.exeはシステムプログラムなので削除しないように。
その他の所にあるrundll32.exeはウイルスの可能性がありますので削除した方がいいです。またどうしても気になるようでしたらセカンドオピニオンでのオンラインスキャンをお勧めします

参考URL:http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php


人気Q&Aランキング

おすすめ情報