Blog amm

久々にログ見てたら

POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1"
GET /awstats/awstats.pl?configdir=|echo;echo%20YYY
POST /drupal/xmlrpc.php HTTP/1.1"
GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY
POST /phpgroupware/xmlrpc.php HTTP/1.1"
GET /cgi-bin/awstats/awstats.pl?configdir=|echo;ec
POST /wordpress/xmlrpc.php HTTP/1.1"
POST /xmlrpc.php HTTP/1.1"
POST /xmlrpc/xmlrpc.php HTTP/1.1"
POST /blog/xmlrpc.php HTTP/1.1"
POST /xmlsrv/xmlrpc.php HTTP/1.1"
POST /blog/xmlsrv/xmlrpc.php HTTP/1.1"

こんなHTTPリクエストが毎日ランダムにやってきてた。
なんだかいろいろ探ってるんですね。気をつけましょう。

投稿者: AMM 日時: 00:10 | パーマリンク

まえに辟易ってかいたけど、このblogにも普通の掲示板にもスパム書き込みが多い。
しかたないので掲示板のアドレス変更しました。
あまり影響ないけどね。
おかげでくだらない広告が書き込まれなくなりましたよ。
打倒っていってもこっちが逃げただけだけど。またちょいちょい書き換えないといけないのかなぁ。

生まれてこのかた仕事に追われたことはなくいつも自分のペースだったけど、今週ははじめてダメだと思いました。
「いそうがしい」という言葉がぴったりで、仕事が間に合わなくて休みなのに出勤しました。会社は寒かった。

投稿者: AMM 日時: 23:59 | パーマリンク

多分いちばんぴったりな言葉はこれ、
このBLOGへのTRACKBACKスパムがうるさすぎ。
今日は３分おきにこのBLOGの全部の記事にTRACKBACKを投げてきて、中身は単なる英文だけど、そのメールを携帯に転送してるからうるさいのなんのって。
６０通くらいきたかなぁ
IPブロックかけるまで止まらなかった手ごわいやつ。っていうかうるさいやつ。そんなことしてなんか効果あんのか？

投稿者: AMM 日時: 00:05 | パーマリンク

と言っても自分のじゃなくてカミサンの。

Windows2000 SP4にNorton system worksを入れてあってウィルス対策は一応してある。でもってLANといえばNAT下で外部からの攻撃は受けない様にしてあるし、メーラーもHTML非対応なやつを使っているにもかかわらずだ、どっかのWEBのHTMLの仕込みにはまったらしい。

しきりにNortonからの警告がでる。警告内容はというと　IEのキャッシュディレクトリにある　d[1].exe だったかな　逆に 1[d].exe
だったかな、・・確か前者だと思うけどそれを実行しようとして警告されてる。で削除できないよっていう表示。そのキャッシュディレクトリを見てみると　1.exe
ってのが有ったような気がしたが、ソッコーでディレクトリごと削除したからわかんなくなっちゃった。

そのファイルを実行しようとしてその後もひたすら警告が表示されるのはうっとうしい限り。

ワームは確か　Downloader.Trojan だったかな。そんな名前。うろ覚えですいません。いいかげんなんで・・・・

じゃぁってことで Nortonのスキャンをかけてもなにも出ない。あれ、おかしいなぁと思いつつ、トレンドマイクロ社の、ActiveXのオンラインスキャンを（これ）を試してもなにも見つからない。そのくせあいかわらずNortonの警告は出まくってるし。

じゃあってことで腰をすえてレジストリを調べてみると・・・　

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RUN

ここに怪しいファイルを見つけたよ。

　　svchost.exe

こいつ。こいつは　%ROOT%の中に入ってるやつなんだけど、よくよく調べると　%ROOT%直下じゃなくて%ROOT%\system32\ の中にいるのが正しい。そしてそこには本物がちゃんといるし。

ということでC:\WINNT\svchost.exe は偽者だってことだね。 タイムスタンプを見るとちょうど感染した日付になってるじゃないの。

どうやらこのファイルが定期的にIEのテンポラリキャッシュにある実行型ファイルを呼び出すらしいね。

レジストリとファイル、そっくり削除。 ファイル名の偽装の為にnortonもtrendmicroも見つかんなかったのかな？

投稿者: AMM 日時: 00:00 | パーマリンク

社内のネットワーククライアントから本部WEBサーバーへ次のGETが来ました。

　GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=2614&STR

　GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=2614&STR

今までならワームのしわざだろ！　と思って終わるところです。今までも経験ありました。

が、このGETを出してくるクライアント、私がきっちりセットしてある為にワームに感染する経路になく、また操作も限定させてあるので、絶対にワームでは無いのです。

じゃなんだ？

調べるところなかなか解に到達しませんでした。

かき集めた情報を集約するとIEのディスカッション機能なんだそうな。

　IEのメニューから　表示　→　エクスプローラーバー　→　コメント　で設定させるとの事

まだ確認してないけどそんな情報なので記憶として書いておきます。

投稿者: AMM 日時: 00:00 | パーマリンク