PC-Blues #17 アクセスありがとう。

  6月か7月くらいからCodeRedというワームが大暴れだそうで、近頃はCodeBlueというやつも出ているのだそうである。

  まあ要するにIISとかパーソナルサーバとかウェブサーバを見つけては乗っ取って自己増殖してついでにシステムもあらしていくんだそうな。うちはダイアルアップでモデム接続だからあんまり関係ないかとタカをくくっていたら、来るわ来るわ10数分かそこらの接続でいつのまにやら数回もやってきている。ログに

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

  こういうのが残るのですぐに分かるのだそうだ。CodeRed_IIの場合は

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

  こんなかんじである。

  なんでもウインドウズマシンにはヒドいことをするらしいが、Linuxにはとりあえず悪さをしないそうである。なのでとりあえず高見の見物であるが、こんな頻繁にアクセスされては只でさえ細い、28.8kモデムの接続がますます細ってしまうのが悲しい。

  しかし、大したものでhoge.honya.ne.jpとかその手のFQDNな名前もなく、数分とか数十分だけ63.12.127.135とかのIPアドレスを持つだけのマシンに向けてアクセスをかけてくる器用なおかたがいるものだなあと感心してしまいました。

  こんな殊勝な方がほかにもいるのかと思ってログを調べてみると結構暇な方がいらっしゃるようである。

ftpでは
root@211.57.221.227 さん
213.245.41.189 さん
root@210.145.197.125 さん
192.104.15.102 さん
root@62.20.1.93 さん
root@210.77.192.144 さん
64.21.139.170 さん
64.21.139.170 さん
217.88.122.170 さん
pD9587AAA.dip.t-dialin.net [217.88.122.170] さん
root@61.134.49.4 さん
217.128.27.215 さん
root@4.2.160.3 さん
63.82.214.165 さん
63.82.214.165 さん
cha213245041189.chello.fr [213.245.41.189], guest@here.com さん
210.77.192.144 [210.77.192.144], lamer@ さん
61.134.49.4 [61.134.49.4], lamer@ さん
ABoulogne-103-1-2-215.abo.wanadoo.fr [217.128.27.215], guest@here.com さん
4.2.160.3 [4.2.160.3], lamer@ さん

telnetでは
root@64.114.13.27 さん
root@210.113.158.194 さん
211.72.126.67 さん
root@24.1.201.179 さん
root@217.96.178.71 さん
root@65.11.45.96 さん
root@211.233.25.215 さん
root@211.43.176.195 さん
63.82.214.165 さん

sshでは
"199.171.27.50" さん

  こうしてみると度々ご訪問をいただいているのはguest@here.comさん、lamer@さんで guest@here.comさんは何とフランスからの御来訪である。その他あちらこちらのrootさんからもアクセスを頂戴しているようである。おいおいそれってroot取られてるんじゃないの?大丈夫かいな。

  ダイアルアップでこの様子ではケーブルとかADSLとか常時接続ってのはものスゲエ攻撃を受けてるのだろうと思われる。私には常時接続なマシンの管理って無理そうと思われる今日このごろである。

  常時接続なかた、セキュリティ方面の対策はどうしてます?

  付録
今回見てみたログの抜粋。

May 28 01:47:37 casper in.ftpd[6876]: connect from root@211.57.221.227
May 28 01:47:42 casper ftpd[6876]: FTP session closed
Jun 20 23:53:19 casper in.ftpd[157]: connect from 213.245.41.189
Jun 20 23:53:22 casper ftpd[157]: ANONYMOUS FTP LOGIN FROM cha213245041189.chello.fr [213.245.41.189], guest@here.com
Jun 20 23:53:29 casper ftpd[157]: FTP session closed
Jun 28 11:38:00 casper in.telnetd[343]: connect from root@64.114.13.27
Jun 28 11:38:11 casper telnetd[343]: ttloop:  peer died: Invalid or incomplete multibyte or wide character 
Jul  5 00:04:04 casper in.ftpd[147]: connect from root@210.145.197.125
Jul  5 00:04:08 casper ftpd[147]: FTP session closed
Jul  5 00:20:33 casper in.ftpd[169]: connect from 192.104.15.102
Jul  5 00:20:37 casper ftpd[169]: FTP session closed
Jul  8 23:44:41 casper in.ftpd[433]: connect from root@62.20.1.93
Jul  8 23:44:44 casper ftpd[433]: FTP session closed
Jul 11 09:56:22 casper in.ftpd[135]: connect from root@210.77.192.144
Jul 11 09:56:30 casper ftpd[135]: ANONYMOUS FTP LOGIN FROM 210.77.192.144 [210.77.192.144], lamer@
Jul 29 00:08:08 casper in.ftpd[164]: connect from 64.21.139.170
Jul 29 00:08:08 casper in.ftpd[165]: connect from 64.21.139.170
Jul 29 00:08:13 casper ftpd[164]: FTP session closed
Jul 29 00:08:17 casper ftpd[165]: FTP session closed
Aug 11 23:17:47 casper in.ftpd[156]: connect from 217.88.122.170
Aug 11 23:17:55 casper ftpd[156]: lost connection to pD9587AAA.dip.t-dialin.net [217.88.122.170]
Aug 11 23:17:55 casper ftpd[156]: FTP session closed
Aug 22 00:02:22 casper in.ftpd[153]: connect from root@61.134.49.4
Aug 22 00:02:28 casper ftpd[153]: ANONYMOUS FTP LOGIN FROM 61.134.49.4 [61.134.49.4], lamer@
Aug 22 00:02:32 casper ftpd[153]: FTP session closed
Aug 26 23:24:06 casper in.telnetd[233]: connect from root@210.113.158.194
Aug 26 23:24:08 casper telnetd[233]: ttloop:  peer died: Invalid or incomplete multibyte or wide character 
Aug 28 10:01:21 casper sshd[59]: connection from "192.168.0.5"
Aug 30 01:33:42 casper in.ftpd[247]: connect from 217.128.27.215
Aug 30 01:33:45 casper ftpd[247]: ANONYMOUS FTP LOGIN FROM ABoulogne-103-1-2-215.abo.wanadoo.fr [217.128.27.215], guest@here.com
Aug 30 01:33:52 casper ftpd[247]: FTP session closed
Sep  2 00:49:29 casper in.telnetd[310]: connect from 211.72.126.67
Sep  9 01:07:55 casper in.ftpd[154]: connect from root@4.2.160.3
Sep  9 01:08:01 casper ftpd[154]: ANONYMOUS FTP LOGIN FROM 4.2.160.3 [4.2.160.3], lamer@
Sep  9 01:08:03 casper ftpd[154]: FTP session closed
Sep  9 23:16:22 casper sshd[58]: connection from "199.171.27.50"
Sep  9 23:16:23 casper in.telnetd[201]: connect from root@24.1.201.179
Sep  9 23:16:26 casper sshd[202]: Remote host disconnected: Connection closed by remote host.
Sep  9 23:16:26 casper sshd[202]: connection lost: 'Connection closed by remote host.'
Sep 10 12:37:20 casper in.telnetd[337]: connect from root@217.96.178.71
Sep 12 01:00:12 casper in.telnetd[264]: connect from root@65.11.45.96
Sep 12 01:00:13 casper telnetd[264]: ttloop:  peer died: Invalid or incomplete multibyte or wide character 
Sep 13 05:40:00 casper in.telnetd[241]: connect from root@211.233.25.215
Sep 13 05:40:03 casper telnetd[241]: ttloop:  peer died: Invalid or incomplete multibyte or wide character 
Sep 13 23:33:27 casper in.telnetd[1599]: connect from root@211.43.176.195
Sep 13 23:33:28 casper telnetd[1599]: ttloop:  peer died: Invalid or incomplete multibyte or wide character 
Sep 14 00:13:36 casper in.telnetd[1621]: connect from 63.82.214.165
Sep 14 00:13:36 casper telnetd[1621]: ttloop:  peer died: Invalid or incomplete multibyte or wide character 
Sep 14 00:15:22 casper in.ftpd[1623]: connect from 63.82.214.165
Sep 14 00:15:29 casper ftpd[1623]: FTP session closed
Sep 14 00:22:54 casper in.ftpd[1625]: connect from 63.82.214.165
Sep 14 00:22:59 casper ftpd[1625]: FTP session closed

[前へ] [次へ]
[Home] [目次]

2001/09/15