These pages are written by only Japanese.
|
Namazu for hns による簡易全文検索です。 詳細は 詳細指定/ヘルプをご参照下さい。 |
||||||||||||||||||||||||||||||||||||||||||||||||
※ 一部を抜粋 → %u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078 90 nop 81C300030000 add ebx,0x300 8B1B mov ebx,[ebx] 53 push ebx FF5378 call near [ebx+0x78]多分、CGI の入力で受け取ったデータを、実行コードとして呼び出して いるんじゃないかと思う。
echo あなたのサーバはクラックされていませんか? | nkf -Es > $HTTP_DOCUMENT_ROOT/default.ida
www.melmo.ne.jp - - [05/Aug/2001:15:45:26 +0900] "GET /default.ida?XXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858 %ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090 %u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 200 43 これ ~~~さて、あちらさんは成功したと思っているのだろうか。 しばらく、このままにしておこう。
CodeRedII,KERN LoadLibraryA,CreateThread,GetTickCount,Sleep GetSystemDirectory,CopyFileA,GlobalFindAtomA,GlobalAddAtomA TcpLen,CloseHandle _lcreat,_lwrite,_lclose GetSystemTime WS2_32.DLL,socket,closesocket,ioctlsocket,connect,select,send,recv gethostname,gethostbyname,WSAGetLastError USER32.DLL,ExitWindowsEx \CMD.EXE d:\inetpub\scripts\root.exe, d:\progra~1\common~1\system\MSADC\root.exe「以上の API群を用いて、Windows に感染するワームを作りなさい」 ってのは、プログラミング演習の課題にぴったりかも。(ぉ
tune$ grep default.ida $HTTP_LOG_DIR/httpd-access.log | \ perl -F: -ane '{print$1, "\n", if (/(\S+)/)}' | \ sort | ./repet_count.pl | sort -r 14 210.177.62.227 12 210.251.80.54 9 sagami143025.allnet.ne.jp 9 211.202.42.16 8 webdepot.ne.jp ...<ずらっと>cron にこれをしかけて、10分単位で自動更新させてみた。 ついでに、棒グラフにしてみる。 ってな訳で、さらしもの〜 (^-^
c:\inetpub\scripts\root.exe c:\progra~1\common~1\system\MSADC\root.exeげっ.まずい... # こっそり証拠隠滅 :-)
「yoya: あの〜。俺の管理してるサーバがワームに感染したと思われる ホストから攻撃されまくってるんだけど、10時位から、 今、ネットワークが不安定なのと関係あるんじゃない?」 「管理部署: 本日、ネットワーク管理者が出張に出かけておりまして...」 「yoya: 他に分かる人おらんのか?」 「管理部署: 彼一人しか分かりません...」 「yoya: あんたん所、管理部門だろうが。ふざけんな。ゴルァ( ゜Д゜)」
最近、流行りの Code Red II が社内にウヨウヨしてるんとちゃう? このワームは1人2人直しても埓あかん性質の物だし、 そっちが号令かけてやってもらわないと、ダメなんじゃないの? ログ送るから、目ぇかっ開いてよく見た後、 とっとと返事よこせや。コラ!といった感じのメールを書いた所、 1時間経ってその人から社員全員宛てのメールが届く。
Code Red II というワームが社内に蔓延してるので、パッチあててね♪ パッチあてる手順 ・まずケーブルを抜きましょう ・以下の場所からパッチを取って来ます。http://www.microsoft.〜<以下略>それに対する周りの反応
ケーブル抜いたらパッチ取ってこれないじゃん っつーか、ネットワークが使えないって言ってるんだろ。 何ねぼけてるんだ。こいつは...その後、パッチが添付されたメールが届きました...
Backup passwd and group files: tune.allnet.ne.jp passwd diffs: 11c11 < news:(password):8:8::0:0:News Subsystem:/:/bin/sh --- > news:(password):8:8::0:0:News Subsystem:/:/bin/shん?
tune.allnet.ne.jp setuid diffs: 2a3 > 8682149 -rwsr-xr-x 1 root 1000 3702 Aug 10 23:03:10 2001 /home/.../sんんん?
tune% grep news xferlog Fri Aug 10 23:26:48 2001 2 d1543.pppdel.vsnl.net.in 5114 /home/.../remove.c b _ i r news ftp 0 * c tune% last | grep news news ttyp2 202.151.232.98 土 8/11 20:34 - 20:35 (00:00) news ttyp3 202.151.232.69 土 8/11 01:58 - 01:59 (00:00) news ftp 202.54.60.178 金 8/10 23:26 - 23:26 (00:00) news ttyp2 202.151.232.160 金 8/10 23:01 - 23:04 (00:03) news ttyp2 202.151.232.160 金 8/10 22:57 - 22:57 (00:00) tune% cd /home/... ; ls -l total 9 -rw-r--r-- 1 news 1000 5114 8/10 23:26 remove.c -rwsr-xr-x 1 root 1000 3702 8/10 23:03 sえええ〜〜?!
tune%$ strings s <略> system /bin/sh
<略> 02:44:17.327888 arp who-has 210.194.148.184 tell 210.194.148.1 02:44:17.331512 arp who-has 210.194.148.185 tell 210.194.148.1 02:44:17.334750 arp who-has 210.194.148.186 tell 210.194.148.1 02:44:17.338313 arp who-has 210.194.148.187 tell 210.194.148.1 02:44:17.341038 arp who-has 210.194.148.188 tell 210.194.148.1 <略>もしかして、CodeRedII の影響なのかなぁ。 実際、収束する気配無いし。
Aug 11 21:20:47 tune login: 1 LOGIN FAILURE FROM 202.151.232.98, newsという訳で、もう入れないよん。(^-^)
< # news:(password):8:8::0:0:News Subsystem:/:/bin/sh > news:(password):8:8::0:0:News Subsystem:/:/bin/sh < sa××:(password):1005:1001::0:0:××:/home/sa××:/usr/local/bin/bash > sa××:(password):1005:1001::0:0:××:/home/sa××:/usr/local/bin/bash tune.allnet.ne.jp setuid diffs: > 8682151 -rwsr-xr-x 1 root 1000 3702 Aug 13 23:27:08 2001 /home/.../sん?
bash-2.05$ pwd /home/... bash-2.05$ ls -l total 25 -rw-r--r-- 1 sa×× 1000 2486 8/13 23:29 master -rw-r--r-- 1 sa×× 1000 2101 8/13 23:25 passwd -rwsr-xr-x 1 root 1000 3702 8/13 23:27 s -rw-r--r-- 1 sa×× 1000 94 8/11 22:02 s.c -rwxr-xr-x 1 sa×× 1000 9736 8/13 23:22 wipe -rw-r--r-- 1 sa×× 1000 3655 8/17 1999 wipe-1.00.tgzはぅ... また、クラックされちゃいました。 てな訳で、急いで再インストール中。(T_T
runsocks ssh tune.allnet.ne.jp ... connection refuse rtelnet tune.allnet.ne.jp 25 ... connection refuseはぅ。ssh も smtp も間違えて塞いじゃったのか。
checking setuid files and devices: tune.allnet.ne.jp setuid diffs: > 9015422 -rwsr-sr-x 1 yoya yama 0 Aug 14 02:24:04 2001 /home/yoya/src/develop/<ばけばけ> > 9015427 -rwsr-sr-x 1 yoya yama 0 Aug 14 02:24:05 2001 /home/yoya/src/develop/<ばけばけ2> > 9015423 -rwsr-sr-x 1 yoya yama 0 Aug 14 02:24:04 2001 /home/yoya/src/develop/<ばけばけ3> > 9015426 -rwsr-sr-x 1 yoya yama 0 Aug 14 02:24:05 2001 /home/yoya/src/develop/<ばけばけ4> > 9015424 -rwsr-sr-x 1 yoya yama 0 Aug 14 02:24:04 2001 /home/yoya/src/develop/<ばけばけ5> > 9602591 -rwsr-sr-x 1 yoya yama 0 Aug 14 02:24:05 2001 /home/yoya/src/develop/<ばけばけ6> > 9015425 -rwsr-sr-x 1 yoya yama 0 Aug 14 02:24:04 2001 /home/yoya/src/develop/<ばけばけ7>しくしく (T_T