大家好~~~
最近發現我的web站台會自動設為全部停止,重新打開後,過每幾分鐘後又變為停止狀態了..
我的環境是win2000 server+sp2+iis5.0...
我有用North AntiVirus2001掃過沒發現病毒??~~~
不知是否最近有這種病毒或駭客技術能這樣子??~~
不知我的電腦是不是被駭了??~~~><~~

贊助商連結

你好

最近我也為這個問題所困擾
四台iis4/5同時出現這個問題
後來我問msdn的工程師 跟據他的說法
這是最近才發現的漏洞 微軟目前還未有solution
他建議我iis5移除在重裝 安裝sp2及最新的hotfix
iis4的問題就難解決的多
目前我正在做 不知有沒有效
你可看看你的iis 的log檔 有沒有被想要不正當的存取
我是在2台電腦上都有發現來自於61.176.180.130的攻擊
似乎是大陸來的
各位網友有新消息請提供 謝謝!!

謝謝jeffwu的分享~~~
我正在做iis5.0的重裝工作~~
不過沒有hotfix的補救~~難保這種情況不會再發生....
因為我的server已有裝sp2了,
不過iis的最新hotfix的網址是???~~microsoft的東西我不太會找(有點雜亂說)
~~再次謝謝jeffwu的告知~~
這問題也困擾了我一個星期了~~~><~~

微軟 IIS 4.0 或 5.0 的更新程式：
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

謝謝Jet Dragon~~~
給 jeffwu~~
沒錯!!~~就是這個hotfix沒錯~~
這個裝進去我們的問題就可解決了~~~

我在裝hotfix之前也把iis重裝了
之後iis5就正常了
iis4要等下班之後才有辦法試

在其他地方看到code red 已經有其他變種...我把它貼上來...
我今天又被攻擊...
web server 又掛了...
不知跟昨天不小心當機有沒有關..
晚一點再更新一次...
...
發信人: [email protected] (-vLaDiVoStOk-), 看板: security
標 題: Re: codered是不是有新的變種??
發信站: 東海大度山之戀 BBS 站 (Mon Aug 6 11:35:10 2001)
轉信站: BlueAngel!news.yuntech!news.ccu!ctu-peer!news.nctu!news.iim.nctu!ccnews
Origin: bbs.thu.edu.tw

【 在 [email protected] (nothing for me) 的大作中提到: 】
: 發現這兩天log有些不再是NNNN反倒是XXXX的比較多,
: 然後觀察一下這些XXX的來源IP發現,似乎IP前兩位都是和我主機一樣的,
: 是不是有新的變種會不斷去掃同subnet下的啊?

這應該是 CodeRed II IP generator 的關係，各個 mask 機率如下
0.0.0.0 (possibility 12.5%)
255.0.0.0 (possibility 50.0%)
255.255.0.0 (possibility 37.5%)

其他特性如下:

CodeRed II

1.利用同樣的漏洞
2.同樣的 shellcode
3.用來 trigger BoF 的是一串 "X"，之前版本用 "N"
4.這次對中文版作了許多加強的功能，例如中文版會產生 600 個 thread
，英文版只有 300 個 (誰說中國人不打中國人? :) )
5.會安裝後門。
6.會 check 時間，year >= 2002 會 reboot，month >= 10 也會 reboot
(看來到 2002/10/01 就沒事，這好像是對面國慶日)