質問じゃないけど



◇-質問じゃないけど-たまに来る人(2003/1/25-16:18)No.19214
 ┣Re:質問じゃないけど-たまに来る人(2003/1/25-16:21)No.19215
 ┃┗Re:質問じゃないけど-sumi(2003/1/25-16:49)No.19217
 ┃ ┗Re:こちらカナダもきてます-やまふみ(2003/1/25-16:59)No.19219
 ┣別件-o2ka(2003/1/25-16:56)No.19218
 ┃┗Re:別件-Ai-net(2003/1/25-19:06)No.19225
 ┃ ┗Re:別件-o2ka(2003/1/26-01:20)No.19242
 ┃  ┗Re:別件-Ai-net-1434(2003/1/26-01:55)No.19244
 ┣Re:質問じゃないけど-かず@自宅(2003/1/25-23:07)No.19231
 ┃┗Re:質問じゃないけど-o2ka(2003/1/25-23:35)No.19232
 ┃ ┗昼間はログになかったのに・・・-o2ka(2003/1/25-23:51)No.19234
 ┃  ┗Re:昼間はログになかったのに・・・-糖衣-1434(2003/1/26-00:04)No.19235
 ┃   ┗Re:昼間はログになかったのに・・・-Ai-net-1434(2003/1/26-00:16)No.19237
 ┃    ┗IPはやはりランダムのようです-糖衣-1434(2003/1/26-00:36)No.19238
 ┃     ┗Re:コード・レッド以来の大規模な…だって-たまに来る人(2003/1/26-00:47)No.19239
 ┃      ┗Re:コード・レッド以来の大規模な…だって-Ai-net-1434(2003/1/26-00:55)No.19240
 ┃       ┗Re:コード・レッド以来の大規模な…だって-たまに来る人(2003/1/26-01:09)No.19241
 ┃        ┗Re:やっと繋がったが、もう皆寝ちゃったかぁ... -やまふみ(2003/1/26-04:40)No.19250
 ┃         ┗Re:やっと繋がったが、もう皆寝ちゃったかぁ... -やまふみ(2003/1/26-05:18)No.19251
 ┃          ┗Re:連続失礼 -やまふみ(2003/1/26-05:44)No.19252
 ┃           ┗Re:連続失礼 -SARU(2003/1/26-06:36)No.19255
 ┃            ┗Re:連続失礼 -sumi(2003/1/26-10:44)No.19258
 ┗Re:質問じゃないけど-zd(2003/1/26-15:40)No.19269

▲このページのトップに戻る
19214質問じゃないけどたまに来る人 2003/1/25-16:18

今日のPM2:00過ぎから連続的にUDP Port1434に
アクセスが集中しています。
Locationを調べると、アメリカやヨーロッパ
その他、世界中からPort1434にアクセスされてます。
2chのセキュア板にも報告が多数あるみたい。

UDP Port1434は、Microsoft-SQL-Monitorのポート
だよね、この辺りが関係しているのかな?
誰か、原因がわかったら教えてちょ!

▲このページのトップに戻る
19215Re:質問じゃないけどたまに来る人 2003/1/25-16:21
記事番号19214へのコメント
すげー、もうアクセス数100を越えたよ。
って、ひとりで騒いでるね。

▲このページのトップに戻る
19217Re:質問じゃないけどsumi 2003/1/25-16:49
記事番号19215へのコメント
たまに来る人さんは No.19215「Re:質問じゃないけど」で書きました。
>すげー、もうアクセス数100を越えたよ。
>って、ひとりで騒いでるね。

確かに多いですね。
1000回以上あり、多すぎて数え切れない。

▲このページのトップに戻る
19219Re:こちらカナダもきてますやまふみ 2003/1/25-16:59
記事番号19217へのコメント

>確かに多いですね。
>1000回以上あり、多すぎて数え切れない。

言われてZoneのアラートログをチェックしたら、

わずか1時間あまりに50件近くきてますね。
ちょっち異常。
なんなんだろ。

▲このページのトップに戻る
19218別件o2ka 2003/1/25-16:56
記事番号19214へのコメント
MSのセキュリティ関連ページに何か情報があるかな〜、って見てみたら、
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-001.asp
深刻度 :
Windows NT 4.0 (ワークステーションおよびメンバ サーバー) 警告
Windows NT 4.0 (ドメイン コントローラのみ) 緊急
Windows NT 4.0, Terminal Server Edition 警告
Windows 2000 (ワークステーションおよびメンバ サーバー) 警告
Windows 2000 (ドメイン コントローラのみ) 緊急
Windows XP 警告

今回の件とは関係ないけど、2003/1/23に重要な更新があがっていますね。

▲このページのトップに戻る
19225Re:別件Ai-net 2003/1/25-19:06
記事番号19218へのコメント

MS03-003 も見てちょんまげ
Outlook 2002 で、暗号化したつもりがプレーンテキストで送信するソーダ(脱力

▲このページのトップに戻る
19242Re:別件o2ka 2003/1/26-01:20
記事番号19225へのコメント
Ai-netさんは No.19225「Re:別件」で書きました。
>
>MS03-003 も見てちょんまげ
>Outlook 2002 で、暗号化したつもりがプレーンテキストで送信するソーダ(脱力

さすが、ポーを輩出したアメリカだけある。

「パケットを拾ったハッカーは暗号を解こうと色々試すが、
最初から暗号化されていないために解くことができない」
というオチですな(?)。


ところでhotmailが繋がらないのは、今回の被害と関係があるのかな??
 ↑「大変だ〜!」メールが殺到して落ちてるだけだったり(爆)

▲このページのトップに戻る
19244Re:別件Ai-net-1434 2003/1/26-01:55
記事番号19242へのコメント

ハッカーのミトニック氏が解放されました。
ウォズニアック氏がマグネシウム MAC を贈ったそうです。

▲このページのトップに戻る
19231Re:質問じゃないけどかず@自宅 2003/1/25-23:07
記事番号19214へのコメント
http://www.asahi.com/international/update/0125/008.html
http://www.asahi.com/international/update/0125/014.html

▲このページのトップに戻る
19232Re:質問じゃないけどo2ka 2003/1/25-23:35
記事番号19231へのコメント
かず@自宅さんは No.19231「Re:質問じゃないけど」で書きました。
>http://www.asahi.com/international/update/0125/008.html
>http://www.asahi.com/international/update/0125/014.html

世界中の「反MS派」が協力して、一斉攻撃を行なったのかな?
そうだとすると、すごい統率力ですね。

打ち合わせはどうやって行なったんだろう?
・・・MSNメール使って打ち合わせしてたりして(笑)。

▲このページのトップに戻る
19234昼間はログになかったのに・・・o2ka 2003/1/25-23:51
記事番号19232へのコメント
うちにも来はじめていますね。

IPアドレスをサーチしてみると・・・
 University of Texas at Austin
 SUNY College at Fredonia
 Princeton University
 California State University, Los Angeles

この様子だと、学生さんのPCが感染しまくって
それが発症したみたいですね。

ネットゲームか何かにウイルスを仕込んで配布した人が
裏にいると見た!

▲このページのトップに戻る
19235Re:昼間はログになかったのに・・・糖衣-1434 2003/1/26-00:04
記事番号19234へのコメント
>この様子だと、学生さんのPCが感染しまくって
>それが発症したみたいですね。
>
>ネットゲームか何かにウイルスを仕込んで配布した人が
>裏にいると見た!

IP偽装とかしてるのでは?

もっとも、ac.jpがウイルス拡散や踏み台の温床となっていることは
承知しておりますが。

▲このページのトップに戻る
19237Re:昼間はログになかったのに・・・Ai-net-1434 2003/1/26-00:16
記事番号19235へのコメント

>もっとも、ac.jpがウイルス拡散や踏み台の温床となっていることは
>承知しておりますが。

ADSL ルーターでバスター2003(6.51/447) で、ナッシング

▲このページのトップに戻る
19238IPはやはりランダムのようです糖衣-1434 2003/1/26-00:36
記事番号19237へのコメント
32.SQLExp.Wormは次のことを行い、標的のコンピュータを攻撃します。

NetBIOSソケットを開き、ワームパケットを送信する。
WindowsのAPI関数であるGetTickCount()を使用してランダムなIPアドレスを
生成し、それらのIPアドレスをワームパケットの送信先にする。
生成したIPアドレスすべてのUDPポート1434に自分自身を繰り返し送信する。
W32.SQLExp はさまざまなIPアドレスにパケットを絶えず送信することによっ
て、サービス拒否攻撃を実行します。

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.html

▲このページのトップに戻る
19239Re:コード・レッド以来の大規模な…だってたまに来る人 2003/1/26-00:47
記事番号19238へのコメント
やっぱウィルスかな?
http://headlines.yahoo.co.jp/hl?a=20030126-00000079-mai-soci

▲このページのトップに戻る
19240Re:コード・レッド以来の大規模な…だってAi-net-1434 2003/1/26-00:55
記事番号19239へのコメント

零時前後で、各方面につながりにくくなったが、沈静化しつつある

▲このページのトップに戻る
19241Re:コード・レッド以来の大規模な…だってたまに来る人 2003/1/26-01:09
記事番号19240へのコメント
大学や企業のサーバ管理者は大変かもね。
ケータイの電源落として、居留守使っている奴もいるかも。
休日出勤はイヤだからね。

そろそろ俺のほうはおさまって来たみたい。
ふー、実害はないが、ウザ過ぎるわ。

▲このページのトップに戻る
19250Re:やっと繋がったが、もう皆寝ちゃったかぁ... やまふみ 2003/1/26-04:40
記事番号19241へのコメント

私の最初の書き込みから
カナダ某所の極小ケーブル会社のHP(←要はウチのプロバイダなんだけど)
だけが見られる状態が続くこと数時間、
ようやく接続障害から開放されました。
北米もなかなかすごかったようですよ。
ログのIPをいくつかチェックしたところ、
ドイツや南米からわざわざウチのPCまで攻撃していただいたようで。

今日はWWEプロレス(←ドラマ仕立てでオモシロイ)
のチケット予約をしようと思っていたのに、迷惑な話だ...

新作ウイルスの作者はどこのお国の人やら。

▲このページのトップに戻る
19251Re:やっと繋がったが、もう皆寝ちゃったかぁ... やまふみ 2003/1/26-05:18
記事番号19250へのコメント

>ログのIPをいくつかチェックしたところ、
>ドイツや南米からわざわざウチのPCまで攻撃していただいたようで。

上のやりとり、良く読んでなくて失礼。
IPはランダムだったんですね。

▲このページのトップに戻る
19252Re:連続失礼 やまふみ 2003/1/26-05:44
記事番号19251へのコメント

>上のやりとり、良く読んでなくて失礼。
>IPはランダムだったんですね。

今いくつか関連記事読んできたところなんですが、
(一例:http://www.zdnet.co.jp/enterprise/0301/26/epn04.html
ランダムIPなのは送信先で、感染元のIPはそのまんまと思っていいのかな。
ずいぶん単純なしくみでサイバーテロできるものだなぁ、と妙な感心。
「ご家庭でお手軽に」活動できそうです。

▲このページのトップに戻る
19255Re:連続失礼 SARU 2003/1/26-06:36
記事番号19252へのコメント
>>しかしそれ以上に深刻なのは、半年以上も前に発見され、パッチも提供済みの
>>セキュリティホールが、これだけ多くのサーバで塞がれないままになっている
>>という事実のほうだ。

とありますが全く同感です。
以前行っていた派遣先でCodered騒ぎがあってから
半年も業務サーバに何の対策もせず、当然の如く
感染後も調査と称して運用したまま2日間放置
していたのには驚きました。

▲このページのトップに戻る
19258Re:連続失礼 sumi 2003/1/26-10:44
記事番号19255へのコメント
SARUさんは No.19255「Re:連続失礼 」で書きました。
>>>しかしそれ以上に深刻なのは、半年以上も前に発見され、パッチも提供済みの
>>>セキュリティホールが、これだけ多くのサーバで塞がれないままになっている
>>>という事実のほうだ。
>
>とありますが全く同感です。
>以前行っていた派遣先でCodered騒ぎがあってから
>半年も業務サーバに何の対策もせず、当然の如く
>感染後も調査と称して運用したまま2日間放置
>していたのには驚きました。
>
今、ルータのログを見たところ、昨日の19時以降はアクセスが無い様です。
1434の送信IPは殆どが「ぷらら」でした。

▲このページのトップに戻る
19269Re:質問じゃないけどzd 2003/1/26-15:40
記事番号19214へのコメント
たまに来る人さんは No.19214「質問じゃないけど」で書きました。
>今日のPM2:00過ぎから連続的にUDP Port1434に
>アクセスが集中しています。
>Locationを調べると、アメリカやヨーロッパ
>その他、世界中からPort1434にアクセスされてます。
>2chのセキュア板にも報告が多数あるみたい。
>
>UDP Port1434は、Microsoft-SQL-Monitorのポート
>だよね、この辺りが関係しているのかな?
>誰か、原因がわかったら教えてちょ!

こんなのありました
http://headlines.yahoo.co.jp/hl?a=20030126-00000001-zdn-sci

A1.本ページは参考になりましたか? 又はアドバイスがありますか?
解決 参考になった 参考にならなかった アドバイスする

A2.何度目の訪問ですか?
初めて来た   数度目(2〜4) 5回以上来ている   管理人:

A3.何か一言どうぞ(アドレスは書くことができません)

A4.アドレスがあればどうぞ(1つまで)


↑↑↑↑よろしければ押してください↑↑↑↑

何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり

参考回数投稿日時何か一言