アタックを受けた場合、
IISログに、XXXXXXXXXXXXXXXXXXXXX
や、NNNNNNNNNNNNNNNNNNNNNNNNNNN
が出力されるのはわかったのですが
AAAAAAAAAAAAAAAAAAAAAAAAA
というログが最近出ています。
正確には下記のようなログです。
これもCODERED.Aでしょうか。
それともチェックツールにてスキャンニングでもした結果でしょうか。

14:01:52 ●●●.●●●.●●●.●●● - GET /x.ida AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=X 200 752 - - -

このQ&Aに関連する最新のQ&A

A 回答 (3件)

こんばんわ。

9日の内容をみて、あれっと思ったのですが、どこにも情報がなくなんだろうと思ってました。
今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」とでてるので、いろいろサイトをみてみましたが、
特に情報は発信されてません。

そこで、ログを大至急確認してほしいのですが、文字列「AAAA・・・・/ランダムな数値と文字」のあとに、HTTP 1.x のあとに、「404」とでてますか?

「404」 とでてればワーム攻撃から失敗したと解釈できるのですが、もしそうでなければ、感染の可能性があります。

セキュリティサイトに、CODERED(2)のスクリプトが掲載されている URL を添付しますので、参考にして下さい。
その内容をみていただいて、なんらかの判断材料として利用していただければいいのですが...

参考URL:http://www.unixwiz.net/techtips/CodeRedII.html
    • good
    • 0
この回答へのお礼

え、CODERED.A3も出たのですか?
もういいかげんにして欲しいですね。
アタックをかけてくるIPアドレスをログから調べていくと、
大抵、韓国か中国のマシンなんです。
対策が遅れてるんですかねぇ~。
情報ありがとうございました。

お礼日時:2001/08/11 13:23

今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」




>今、GOO の TOP ページに、「CODERED(3)出現(韓国)ロイター発信」

CODEREDIII は誤報の可能性があるとのこと。(詳細はまだ不確定らしいです...)

とりあえずお知らせしときます。どこもかしこも混乱してますね。

それと、ログの内容はどうでした?無事だったでしょうか?
    • good
    • 0
この回答へのお礼

う~ん、感染の有無は正直よくわかりません。一応皆様からの情報を元に、
チェックツールや除去ツール等を試してみましたが、どれもこれも、
大丈夫、としか結果はでません。これ以上は調べようもないので、まあ、もう
気にしないようにします。今でもアタックログは毎日出力されているのですが。
万が一の為に、一応BukUPは済ませましたので、もう、来るならこいっ!って
感じです。
いろいろ情報、ありがとうございました。

お礼日時:2001/08/12 14:27

回答ではないのですが、もし複数の異なったIPアドレスからスキャンが


かかっているようであれば、利用しているプロバイダのサポート窓口に
ログを送るのが良いかとおもいます。

あと、dshieldでもログを収集しているようなので

grep 'default.ida' access_log | mail -s 'APACHE' redalert@dshield.org

とかして、ログを送ると良いと思います。

参考URL:http://www.dshield.org/codered.html
    • good
    • 0
この回答へのお礼

はい、早速プロバイダーにもログを送付したのですが、アタックしてくるには
ほぼ、海外からなんです。おそらくプロバイダーもどうしょうもないのでは、
と思ってしまいます。まったく迷惑な話ですね。
ありがとうございました。

お礼日時:2001/08/11 13:27

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!


人気Q&Aランキング

おすすめ情報