아..그리고 지금 나와있는 웜은 지금까지 공격 타겟이 된 곳을 history에 남겨놓고 그중 한 서버에서 최근 5개정도의 게시판만 공격하도록 만들어진 녀석이 돌고 있네요. 그래서 악성이라 할 수 있는 정도는 아니고 그냥 되는가 테스트하는 정도라고 보시면 될 듯 합니다. 물론 소스코드 몇줄 고치면 무작위로 자기 자신을 복제하고 히스토리에 남은데로 계속 공격하는 웜이 될 수도 있습니다만 굳이 그럴려는 사람은 별로 없네요.

답글

조언 감사합니다.조금 지켜보다가 정도가 심하다 싶으면 서버단에서

글쓴이: 망치 / 작성시간: 목, 2005/11/24 - 2:03오전

조언 감사합니다.

조금 지켜보다가 정도가 심하다 싶으면 서버단에서 차단시키는 방향으로 해야겠습니다. -_-;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

답글

공격자 아이피 공개해도 상관없겠죠?아이피는 207.46.98.148

글쓴이: 망치 / 작성시간: 목, 2005/11/24 - 7:26오전

공격자 아이피 공개해도 상관없겠죠?
아이피는 207.46.98.148 인데.. 좀 특이하네요 - -

whois 보면 결과가 ...

Quote:

OrgName: Microsoft Corp
OrgID: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
NetRange: 207.46.0.0 - 207.46.255.255
CIDR: 207.46.0.0/16
NetName: MICROSOFT-GLOBAL-NET
NetHandle: NET-207-46-0-0-1
Parent: NET-207-0-0-0-0
NetType: Direct Assignment
NameServer: NS1.MSFT.NET
NameServer: NS5.MSFT.NET
NameServer: NS2.MSFT.NET
NameServer: NS3.MSFT.NET
NameServer: NS4.MSFT.NET
Comment:
RegDate: 1997-03-31
Updated: 2004-12-09

RTechHandle: ZM39-ARIN
RTechName: Microsoft
RTechPhone: +1-425-882-8080
RTechEmail: noc@microsoft.com

OrgAbuseHandle: HOTMA-ARIN
OrgAbuseName: Hotmail Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@hotmail.com

OrgAbuseHandle: MSNAB-ARIN
OrgAbuseName: MSN ABUSE
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@msn.com

OrgAbuseHandle: ABUSE231-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@microsoft.com

OrgNOCHandle: ZM23-ARIN
OrgNOCName: Microsoft Corporation
OrgNOCPhone: +1-425-882-8080
OrgNOCEmail: noc@microsoft.com

OrgTechHandle: MSFTP-ARIN
OrgTechName: MSFT-POC
OrgTechPhone: +1-425-882-8080
OrgTechEmail: iprrms@microsoft.com

# ARIN WHOIS database, last updated 2005-11-22 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

답글

MSN검색엔진인가 ㅡ.,ㅡ?

글쓴이: 나는오리 / 작성시간: 목, 2005/11/24 - 8:20오전

MSN검색엔진인가 ㅡ.,ㅡ?

답글

헛.. 맞군요. 뒤늦게 로그를 확인해본결과 - -;;;[quo

글쓴이: 망치 / 작성시간: 일, 2005/11/27 - 4:21오전

헛.. 맞군요. 뒤늦게 로그를 확인해본결과 - -;;;

Quote:

207.46.98.148 - - [27/Nov/2005:03:40:38 +0900] "GET /robots.txt HTTP/1.0" 404 208 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:03:40:39 +0900] "GET /bbs/index.php?sid=b32f19ff7821d3df0e41ce81cd285ab1 HTTP/1.0" 200 36872 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:03:46:46 +0900] "GET /bbs/groupcp.php?sid=b32f19ff7821d3df0e41ce81cd285ab1 HTTP/1.0" 200 15155 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:03:46:57 +0900] "GET /bbs/faq.php?sid=b32f19ff7821d3df0e41ce81cd285ab1 HTTP/1.0" 200 60420 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:03:47:05 +0900] "GET /bbs/search.php?sid=b32f19ff7821d3df0e41ce81cd285ab1 HTTP/1.0" 200 19227 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:03:48:23 +0900] "GET /bbs/profile.php?mode=register&sid=b32f19ff7821d3df0e41ce81cd285ab1 HTTP/1.0" 200 14236 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:04:07:52 +0900] "GET / HTTP/1.0" 200 159 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:04:07:53 +0900] "GET /bbs/memberlist.php?sid=b32f19ff7821d3df0e41ce81cd285ab1 HTTP/1.0" 200 44149 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:04:08:06 +0900] "GET /bbs/profile.php?mode=viewprofile&u=2&sid=b32f19ff7821d3df0e41ce81cd285ab1 HTTP/1.0" 200 20338 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:04:08:20 +0900] "GET /bbs/groupcp.php?g=4&sid=b32f19ff7821d3df0e41ce81cd285ab1 HTTP/1.0" 200 17103 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.148 - - [27/Nov/2005:04:09:20 +0900] "GET /bbs/ HTTP/1.0" 200 36778 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"

왜 whois 결과로 바로 생각못했는지 ... 멍청했네요 ㅡ ㅡ;;;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

답글

댓글 달기

이름

제목

댓글 *

텍스트 포맷에 대한 자세한 정보

텍스트 양식

Filtered HTML

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
You can use Textile markup to format text.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
Quick Tips:
- Two or more spaces at a line's end = Line break
- Double returns = Paragraph
- *Single asterisks* or _single underscores_ = Emphasis
- **Double** or __double__ = Strong
- This is [a link](http://the.link.example.com "The optional title text")
For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

HTML 태그를 사용할 수 없습니다.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
줄과 단락은 자동으로 분리됩니다.

CAPTCHA

이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.

부 메뉴

PHPBB 관리자 인덱스에서 같은 IP 사용자가 여러 게시판에 등장..

phpbb 공격패턴중 하나인데 아직 초기단계라 악성은 아닙니다. :-)

웜이라면 무작위 IP 공격에 노출이 된건가요?아니라면 누군가에게

그런데 혹시 모릅니다. 특정 사용자 몇몇이 정말 저렇게 사용하고

아..그리고 지금 나와있는 웜은 지금까지 공격 타겟이 된 곳을 histo

조언 감사합니다.조금 지켜보다가 정도가 심하다 싶으면 서버단에서

공격자 아이피 공개해도 상관없겠죠?아이피는 207.46.98.148

MSN검색엔진인가 ㅡ.,ㅡ?

헛.. 맞군요. 뒤늦게 로그를 확인해본결과 - -;;;[quo

댓글 달기

Filtered HTML

BBCode

Textile

Markdown

Plain text

주 메뉴

둘러보기

부 메뉴

현재 위치

PHPBB 관리자 인덱스에서 같은 IP 사용자가 여러 게시판에 등장..

댓글 달기

Filtered HTML

BBCode

Textile

Markdown

Plain text

주 메뉴

검색 폼

둘러보기

사용자 로그인

Oauth2 Login :