アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
Re:現在、手動で駆逐中です (スコア:3, 参考になる)
ACさんと同じように、MS00-078パッチを当てたはずのサーバがやられたので、00078だけじゃダメなのかなぁと思ったのです。でも、攻撃パターンは00078の適用で回避できるタイプのものなんですよね。
で、「おそらく」なんですが、
1.以前、「copy c:\winnt\system32\cmd.exe inetpub\scripts\root.exe」というコマンドをなんらかのワームに実行されてしまった。
2.このワームに対するパッチを適用した。root.exeはそのまま残ってる。
3.シェルコマンドをやりたい放題に実行可能!
っていう状況のサーバだったんではないかと思います。root.exeというファイルが、サーバに入っていたら要注意ですね。サーバに残っていたログを見る限り、UNICODEアタックの前に、root.exeが実行可能かどうかを調べているようなので、このワーム以前に流行した何らかのワーム(あるいはウイルス)にヤラレて、root.exeが残ったままの状況を想定して作られたワームなんじゃないかと思います。