|
|
IIS を狙っていたっつーやつです。
感染例が確認されてから、もう随分と経ちますが、たまにクラックされてます。
log にこんなのが残ってたら、多分、 Code Red です。
| ***.***.***.*** - - [29/Aug/2001:23:22:54 +0900] "GET /default.ida?NNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u909 0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090% u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 287 |
*表示の都合上、折り返した log を表示していますが、実際には 1 行です。
おまえ、シツコイよみたいな。
WindowsNT を使うわけねーだろ。みたいな。
この worm にヤラレちゃうと、IIS が アロケートしている RAM の内容を書き換えて、
を表示する URL にリダイレクトされてしまうようでつ。
RAM を書き換えるだけで html は書き換えられないモヨウ。
Windows IIS を狙っているだけに Solaris の Apache には影響ナシです。
ただ、 access_log に大量にログが残るのは、好きくないので、 別の log に書き出すようにしませう。
Code Red の亜種とゆわれてるヤツでつ。
| ***.***.***.*** - - [20/Aug/2003:21:19:58 +0900] "GET /default.ida?XXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u909 0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090% u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 287 |
*表示の都合上、折り返した log を表示していますが、実際には 1 行です。
おまえ、いい加減に解れ。みたいな。
IIS ぢゃねーんだよ。みたいな。
