WinNT4ですが、REDCODEに侵されたので
最初にSP6aを当て、
その次にJPNQ300972i.exeとJPNQ299444i.exeとarbexeis.exeとarbexei.exeを当てました。
もちろんその都度リブートもしています。
しかし、その後もアクセスは続いています。(回数は減りましたが)
どうしたら良いのでしょうか?

すいませんが大変困っています。
盆休みに入る前に解決したいです。。。
宜しくお願い致します。

A 回答 (5件)

#4 hequilさんの補足ですが、


>netstat -an
>と入力し
>TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
>というのが出てくるのであれば、まだ感染している可能性が高いです。
>
CodeRed2であれば、感染してから24時間(日本語環境)しか攻撃を行わないそうなので、
これではチェックできません。
8/4以降に感染に気付いたのであれば、CodeRed2に入られた可能性が高いので、
CodeRed2の対処が必要でしょう。


hashさんのページがかなり詳しい情報を公開していますので、一度みてみては。
(参考URLはCodeRed2に関するもの)

参考URL:http://www.reasoning.org/jp/security_alerts/hash …

この回答への補足

あれから2日後ですが、
netstat -an
TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
は無くなりました。
解決したものと判断します。
皆様有難う御座います。

補足日時:2001/08/13 08:33
    • good
    • 0
この回答へのお礼

回答有難う御座います。
私もうっかりしていましたが、昨日のログに
NNNNNNNNNNNNNNNNNNNNNNNNNNN

XXXXXXXXXXXXXXXXXXXXXXXXXXX
の両方がありました。
と言う事はCode Red & Code Red(2)の両方から攻撃を受けているのですね。。。
参考URLで見る限り「root.exe」は消した方が良いのですね。(消さないと意味が無いのですね)

お礼日時:2001/08/10 11:54

>ところで、実際修復されたのかが不明でしたので困っています。


>駆除されたかどうかの判断をしたいのですがどうしたら良いのですか?
>Firewallが有りますが、Webサーバーのアクセスログに未だCODEREDのログが出てくるのですが。。。

駆除ソフト&CodeRedチェッカーでOKなら、「CodeRed」は駆除出来ているかと思われます。
それ以外のバックドア等の保証は出来ませんが

#2でもお答え致しましたが、CodeRed自体のアクセスはサーバー等関係なく、グローバルIPが振られている機器全てにアクセスがあると思いますので、気にすることではないです。

単純にCodeRedがちゃんと駆除できたかを調べる方法としては、コマンドプロンプトから

netstat -an

と入力し

TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]

というのが出てくるのであれば、まだ感染している可能性が高いです。
もちろん、ブラウザでどこかのホームページを開いている最中に実行したら意味ないですが・・・

更に厳密に調べたいのであれば、sniffer等のパケットキャプチャできるソフトウェアなどで調べてみてはどうでしょうか?

以上、参考までに
    • good
    • 0
この回答へのお礼

回答有難う御座います。
試しにFirewallで「netstat -an」と入力したら
TCP [自サーバーのIPアドレス]:数字 [IPアドレス]:80 [状態文字列]
が2行出てきました。
その2行のIPをブラウザで調べたら「IPA」でした。
もちろん誰もそのページを見ていません。
やはり未だ駆除出来ていないのでしょうか?
無理言ってすいませんが宜しくお願い致します。
PS:snifferも調べましたが30万は出してもらえそうに有りません(^^;

お礼日時:2001/08/10 10:45

NTなんでCodeRedですよね。


シマンテックからCodeRedの駆除ツールが出ていますよ。

参考URL:http://netnavi.nikkeibp.co.jp/news/navinews/2001 …
    • good
    • 0
この回答へのお礼

有難う御座います。
良く見たら「REDCODE」って書いてましたね(^^;;お恥ずかしい・・・
この駆除ツールも試したのですが・・・

お礼日時:2001/08/10 08:41

CodeRedですよね?(^^;;


一応Microsoftを始め、各ベンダーが対策を書かれていますが、一度感染したら面倒でもOSの再インストールしたほうが良いです。

というのも、CodeRedII(CodeRed.v3)と呼ばれるタイプだと、別途バックドアを仕掛けられている可能性もありますので。

あと、感染してなくてもアクセスそのものをなくすことは当分難しいかと思います。
なくそうと思えば世界中のIISがちゃんと対策をしない限りアクセスがなくなることがありませんから。

勿論私の管理下のサーバーも公開時から該当のパッチ当てていましたが昨日、一昨日と日に数千回ほどCodeRed絡みのアクセスがありました(泣)
感染しなくても、これだけの数になるといい迷惑ですよね

この回答への補足

すいません併せて質問させて頂きます。
トロイの木馬の停止、及び再起動の予防方法ですが、
そもそもExplorer.exeは1個しか動いていませんでした。
そしてC:\Program Files\Common Files\system\MSADC内のroot.exeですが、
エクスプローラー上から削除できます。
読取専用や他のアプリケーションが使用しています。
などの表示が出ずに消せます。
そもそも最初から有ったファイルなのですか?
消しても良いのですか?
すいませんがご教授願います。

補足日時:2001/08/10 09:22
    • good
    • 0
この回答へのお礼

回答有難う御座います。
Webサーバー・Mailサーバー・Faileサーバー兼用の為、今すぐOSを入れ替える対応は難しいです。
でも入れ替えした方が良いのは分かります。
一度SIとも相談してみます。
ところで、実際修復されたのかが不明でしたので困っています。
駆除されたかどうかの判断をしたいのですがどうしたら良いのですか?
Firewallが有りますが、Webサーバーのアクセスログに未だCODEREDのログが出てくるのですが。。。
しかしSymantecなどのCODEREDチェックプログラムでは大丈夫と出ます。
すいませんがもう少しお助け願います。

お礼日時:2001/08/10 08:39

やられたあと、パッチを当てても元に戻らないと思います。


マイクロソフトのサイトの対策を見て、駆除しましょう。

参考URL:http://www.microsoft.com/japan/technet/security/ …
    • good
    • 0
この回答へのお礼

有難う御座いました。
ずっとこのページを見ながら対応しています。
それでも、実際修復されたのかが不明でしたので困っています。
駆除されたかどうかの判断をしたかったのです。

お礼日時:2001/08/10 08:31

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!


このカテゴリの人気Q&Aランキング

おすすめ情報

カテゴリ