【春雷】 イオナズン対策スレッド
■ このスレッドは過去ログ倉庫に格納されています
♪あなたはーいなづーまーのー よーぅにー
わたしのースレをー ひきさいたーぁー
つなぎかえ連投荒し 通称「イオナズン」の対策スレッドです
このスレも荒らされたりして (*´Д`) < ダウソのウイルスについてはよくわかりませんがー
イオナズンに関してはー
掘られたログの User-Agent が 全てMonazilla/1.00 (Jane2ch/0.1.12.2) で共通
している事から察するにー
ただの age2ch タイプの荒らしさんで、一人でやっているんじゃないのかなー
と思いましたー。 それはイオナズン自身がそのUAを名乗ってるだけですよ。
ホストに含まれてる地名が異なるから絶対に複数マシンから発信してます。 Jane2chが問題だったら作者が首吊るぞw
UAなんか簡単に書き換えられるからなぁ。
一度書き換えた事が有るが「ファミリーベーシック」ってUA名乗ったら
プログラマーの友人に(#゚Д゚)ゴルァされますた
「え−、ベーシックでネット出来るんだ」と真面目に言われますた
アクセス解析で足跡が容易に判別されるようになりますた
もうしませんorz ◆Style/kK.sがそんなタマだと思ったら大間違いだ >>30
その考えは当ってると思うよ。
たぶんnyを利用して広めたんだろうなあ。
山田オルタの感染者は1日に100台と言う話しも有るし。
2ちゃんねるだけの被害ならどうってことないかもね。
こいつが、いろんな悪さをしはじめたら、、、
>>31
>掘られたログの User-Agent が 全てMonazilla/1.00 (Jane2ch/0.1.12.2) で共通
は単なる発信者が使ってるだけでしょ。 >>35
>たぶんnyを利用して広めたんだろうなあ。
ハシュきぼんぬ (*´Д`) < >単なる発信者が使ってるだけでしょ。
何が言いたくて、どこに突っ込みたいのかよくわかりませんが
それは一人がやっていると言う事を補完する意見でしかない、ような気はします、です
そんな今夜ですた ( ゚д゚)ノ >>36
オレはワクチン製造会社じゃないし、いちいちexe.を分析して無いよ。
ハシュで判れば幸せだろうね。
と、真面目に答える。
>>37
そうそう。 >35
>37
一人なのかグループなのか今の時点は判断できないけど同一botからなのは
間違いないかと
Dosプログラムのバージョンアップが可能だと仮定するとそれすら崩れる可能性
もありますし(UAランダムタイプの出現) これ以前にログ掘ったりしましたか?
雪だるま作戦のスレを待ち続けるスレ Part5
http://aa5.2ch.net/test/read.cgi/nanmin/1142431006/760
760 :757 [sage] :2006/03/31(金) 01:53:01
>>758
VIPのキャップくれ。
UAはOpenJane0.1.12.2これで規制は無理だろ。
300秒ごとに踏み台からくるくるまわしてるみたい
これ以上は別料金ですぜ (*´Д`) < わたすは想定出来る事を考えたりはしますがー
根拠がはっきりしない事でー
断言したりはー
しないことがおおいです。。。 >>40
VIPのキャップなんて意味ないんだし発行してはいかがでしょう>FOX 荒らせばキャップが貰えるなんて前例を作るのは好ましくないかと そこは伝説の機能として
VIPの歴史に組み込んでしまえば 頭に★がつくだけじゃない?
結果的に馬鹿が看板背負(ry ログ掘り以前にUAの件を知っていた場合、
そいつが本体だろうと言いたかっただけだが (*´Д`) < 寝る前に一言だけ。。。
>>ID:Q+34oZtH0
適当な事を場当たり的に書き込む人は、嫌いです ID:Q+34oZtH0は正しいことを言ってると思うが よく分からない理由で人を嫌いだと書く人は、痛いと思います 内輪もめしてもしゃあないべ。敵はウィルスとその作者。 これバックドアでやられてんのかぁ
手動に見えるな、ログ掘ってなきゃ こりゃプロパに攻撃うけてますって報告するケースだな、望み薄 >>65
これはイオナズンじゃないよ。誰かがまた作ってる。 >>67
すげーIDかぶりが2個ずつだ・・・
性能が増してる ゾンビPCが増えたってことかしら
どうせnyとかだろうけど、どうやって感染させてんだろ 今回は完成度が低い方です
IDがほとんど重複しない場合もあります Samba24の管理さえしておけば、IDがかぶっても問題ないし
その気になれば、ログ掘って焼くまでの間に全スレ埋めることも可能な気がする
前測定したら10000res/hは軽く超えてたし 厨房板で宇宙語書いてる香具師とかダウソ板でfusianasan爆撃してる香具師とかがゾンビPCだったりして >>75
>厨房板で宇宙語書いてる香具師
それはどうかな
遊びで書いてる人が数人いる >>74
規制情報板のような板でログ堀すれば無問題 掘られない件
というか1レスずつ報告したほうがいいのか?
それだときりが無いが・・・ >>79
報告は簡単だけど。これ使えば。
ttp://halcyan.30.kg/myscan.php >>79
書式
http://info.2ch.net/~info/wiki/pukiwiki.php?%B3%C6%B9%D3%A4%E9%A4%B7%CA%F3%B9%F0%A4%CE%BD%F1%BC%B0#ResSingle_noKey
書式2を使って
共通キーワード:VIPでやれ
と入れればおk >>80-81
>>67をそれでやってみたんだけど本文が長すぎになっちまう どれどれ
>>67
http://live22x.2ch.net/test/read.cgi/news/1144246548/178 2006/04/06(木) 17:28:41.26 ID:zuWbf6mS0
|
名前:番組の途中ですが名無しです(デフォルト)
共通キーワード:VIPでやれ
数 :800以上
速度 : 80res/min
1行res定型コピペ爆撃
|
http://live22x.2ch.net/test/read.cgi/news/1144246548/1000 2006/04/06(木) 17:33:30.23 ID:13x6VXSF0 >>82
どの部分が本文が長すぎに引っかかったかわからないけど、
共通項目があるときはID省略してもいける(はず) >>84
あら、ID省略可だったんですか
すみませんでした >86
ある意味ブラクラw
プニルが「応答なし」になったジャマイカw では>>60のを
http://live22x.2ch.net/test/read.cgi/news/1144158214/260 2006/04/05(水) 23:12:11.18 ID:gUSd96Ou0
|
名前:番組の途中ですが名無しです(デフォルト)
共通キーワード:ねこ死亡ワロタ
数 :700以上
速度 :200res/min
1行res定型コピペ爆撃
|
http://live22x.2ch.net/test/read.cgi/news/1144158214/999 2006/04/05(水) 23:15:17.70 ID:TV6PjOvj0 >86って、Monazilla/1.00 (Jane2ch/0.1.12.2) だけっぽいね >>86
大半が16〜18 res
興味があるホスト
↓共有ホストで外部からは接続不可
asf-cable.c-able.ne.jp 17res
bergamot.aitai.ne.jp 4res
catv162.avis.ne.jp 17res
crux.aitai.ne.jp 19res
family.e-catv.ne.jp 19res
gw000057.ueda.ne.jp 18res
icc-pat2.orihime.ne.jp 14res
marguerite.aitai.ne.jp 37res
octans.aitai.ne.jp 18res
phoenix.aitai.ne.jp 18res
white2.scn-net.ne.jp 18res
どっかに接続して命令を待ってる様子
>>93
前回も Jane2ch/0.1.12.2 だったしUA規制してみたら? >94
もし>92も Monazilla/1.00 (Jane2ch/0.1.12.2) だったら、
規制すれば、一時しのぎとしても、しばらくは落ち着くかも その場その場で本文変えられるんだから
UserAgentだって変えられるだろ >>96
変えられるのが
ターゲットと本文だけだったら?
規制回避するんであれば 最初からUAはランダムにしてる ランダムにするのは結構面倒なんだよ
処理に時間かかるし 暇なので逆引きできないの手動で調べようと思ったが長くて挫折した
とりあえず重複が出てくる(レス番812)までhttp://www2.arearesearch.co.jp/ip-kensaku.htmlで割当国みてみた
で気づいたわけだが、>>86はスレが終わった時間以後もログが続いてるんですがw
違うスレのですかねぇ・・・
あとは.twと.comがひとつずつあった
やっぱ漫画とかに仕込まれてるんですかね
韓国
61.47.255.85
58.227.201.162
61.47.255.85
59.11.199.146
221.163.119.83
211.112.113.244
222.101.76.45
211.54.147.220
211.218.207.42
222.103.62.132
中国
219.152.68.141 つうことは
UA を種に Samba風味 とか、、、 ちなみに 爆撃されているのは news だけ?
データとるのは news を張っていればいいのかな? 運用情報にも一回爆撃きてたし、単に犯人の趣味かなぁ・・・
でも運用情報は120秒規制だよねぇ、、、
でも、1回ずつ書き込まれるだけでも十分な破壊力な気がしないでもない >>10のoperateの件はいおなずんちゃうの? 対応出来るまでBE_TYPE2で凌ぐとかは?
・・・ひろゆきに迷惑が掛かるか。。。 【速報】 ちょろ ★(=FOX ★)は嫌韓厨だった! 報告
>92
ログ
>99
全ホスト掲載不可なので分析結果でも
記録されてる書き込み回数 11210回
IP総数 829個
重複している数 818個(10回以上 736個)
プロバイダ分布は後ほど
UAは全て同一でした。(前にも書いたけど変えられる可能性もある)
※ここまで大量のゾンビPCがあると通報はほぼ不可能です。
(仮にやっても別のゾンビPCを作られる可能性が大) 何か前の投稿間隔も考慮に入れて
200秒間隔にそろうようとしてる気がするんだが
何の意味があるのだろう・・・
p2107-adsau07doujib1-acca.osaka.ocn.ne.jp
書き込み時間 間隔(秒未満切り捨て)
17:28:41.26 3:23
17:32:04.72 3:17
17:35:21.85 3:21
17:38:42.08 3:19
17:42:01.64 3:20
17:45:21.67 3:20
17:48:41.89 3:21
17:52:02.40 3:19
17:55:21.87 3:29
17:58:50.40 3:12
18:02:02.37 3:20
18:05:22.08 3:20
18:08:42.07 3:20
18:12:02.99 3:25
18:15:27.09 3:15
18:18:42.43 3:20
18:22:02.97 3:20
18:25:22.72 3:19
18:28:41.83 >>113
書き込みバーボン回避 or サンバ回避 とかじゃね? 山田オルタ、ふしあなageマルウェアとイオナズンに関連があるか
気になったので、>>86 >>99のリストにあったイオナズンのゾンビ
クライアント(1064個)と、以下で報告のあった山田オルタ、ふし
あなage感染ホストを付き合わせてみました。
■ウィルス爆撃相談所&焼き処2【RockBBQ】
http://qb5.2ch.net/test/read.cgi/sec2chd/1144022103/304-582
両方にあったホストは次の13個。すべてダウンロード板へのふしあ
なage爆撃でした。
203-165-175-237.rev.home.ne.jp
218-251-13-189.eonet.ne.jp
58-188-72-69.eonet.ne.jp
EAOcf-84p166.ppp15.odn.ne.jp
F001089.ppp.dion.ne.jp
KHP222226060026.ppp-bb.dion.ne.jp
catv219122103074.ucatv.ne.jp
h219-110-195-046.catv02.itscom.jp
nthkid058077.hkid.nt.adsl.ppp.infoweb.ne.jp
p006.net059086018.tnc.ne.jp
p3235-ipad01hiraide.tochigi.ocn.ne.jp
softbank218179186044.bbtec.net
softbank219204064005.bbtec.net
イオナズンとふしあなageには関連がありそうな気がしますが、別々の
マルウェアにに多重感染した迂闊な人リストであるだけかもしれません。 まー、同居は可能でしょうねー。
居心地がいいって所でしょうかー。 今プロバイダ分布作成中ですが焼き可能なのを見つけたので報告します。
aa2003010479003.userreverse.dion.ne.jp 11res
aa2004040394002.userreverse.dion.ne.jp 11res
aa2004080395003.userreverse.dion.ne.jp 3res
KD125055207003.ppp-bb.dion.ne.jp 11res
KHP059136032193.ppp-bb.dion.ne.jp 12res
KHP059140101065.ppp-bb.dion.ne.jp 11res
KHP059140123188.ppp-bb.dion.ne.jp 12res
KHP059140238085.ppp-bb.dion.ne.jp 12res
KHP059141023129.ppp-bb.dion.ne.jp 11res
KHP059141102248.ppp-bb.dion.ne.jp 12res
KHP059141109013.ppp-bb.dion.ne.jp 12res
KHP059141174164.ppp-bb.dion.ne.jp 11res
KHP222000089144.ppp-bb.dion.ne.jp 10res
KHP222006002235.ppp-bb.dion.ne.jp 12res
KHP222009245116.ppp-bb.dion.ne.jp 11res プロバイダ分布(10以上のみ)
BIGLOBE 30
DION 70
eonet 31
infoweb 47
OCN 157
plala 22
so-net 24
YahooBB 171
zaq 17
※OCNとヤフーが異様に多いなぁ(全体の4割近く) yourenetが無いのが意外といえば意外ですな('A`) >119
掘られた2件見てみましたけど合計で10件無かったです。
※もう1件の方は纏めただけで分析してないけどゾンビPC推定で1000台以上は
分散してるんじゃないかと思われます。 >>120
>ゾンビPC推定で1000台以上
(ノ∀`)アチャー
やはり通報無理そうですな…
随時作業乙カレさまです、サー! どっかの中の人です
>>120
そうとうでかそうなBOTネットですねぇ(´・ω・`) winny使ってるホストかどーか調べようにも
比べるツールを今から作らないと・・・
時間かかります。(数時間で済むはず) 何かこの機会にBOTについての記事を色々読んでたら、暗澹とした気分になってきた
今回のny騒動でISPがウイルス等に感染してるっぽい怪しいトラフィックを常時監視したり
2ちゃん等からの指摘でもすぐに調査・対応するようにならなきゃどうしようもないね ウイルス感染しても自分に被害なければ無問題と言う認識がいけませんよね。
nyするなら専用機なんてバカな事をする言うヤツが居るからダメ。
ウイルス感染(して他所に迷惑かける事)は罪って事にならんと感染者は減らない。
罰金制度と感染者ハンターwがでてくれば良いなと思ってたりして...
雑談スマソ winnyも使ってたホスト(共有ホストは除く) こっちのクラスタは "【アプリ】Windows【ソフトウェア】※アプリ厨必死だな(藁【アプリ】みんなには内緒だよ【app】"
224.56.111.219.dy.bbexcite.jp
h219-110-187-039.catv02.itscom.jp
global221-101-232.aitai.ne.jp
i211-133-234-058.us.catvmics.ne.jp
ZQ237102.ppp.dion.ne.jp, ZV216218.ppp.dion.ne.jp
PPPbf364.saitama-ip.dti.ne.jp
dhcp234175.mv.icv-net.ne.jp
CATV-219-099-010-037.medias.ne.jp
p5190-ipbf14funabasi.chiba.ocn.ne.jp, p4051-ipbf204sapodori.hokkaido.ocn.ne.jp
p1110-ipbf310sapodori.hokkaido.ocn.ne.jp, p2238-ipbf210souka.saitama.ocn.ne.jp
a131051.usr.starcat.ne.jp
229.net059085184.t-com.ne.jp, 117.net220148219.t-com.ne.jp
z128.58-98-156.ppp.wakwak.ne.jp
m056147.ppp.asahi-net.or.jp
p171.net059084093.tokai.or.jp
softbank219016158062.bbtec.net, softbank219028160022.bbtec.net, softbank219051208001.bbtec.net, softbank219191248181.bbtec.net
softbank219204086130.bbtec.net, softbank219209107072.bbtec.net, softbank221094207006.bbtec.net >>127 は過去一週間
↓3/3以降 (>127に書いたものは除く) クラスタはいろいろと・・・
FLH1Aby159.szo.mesh.ad.jp
h219-110-187-061.catv02.itscom.jp, KHP222006002235.ppp-bb.dion.ne.jp
ZQ237102.ppp.dion.ne.jp, ZV216218.ppp.dion.ne.jp
PPPax346.saitama-ip.dti.ne.jp
59-190-80-158.eonet.ne.jp, 60-56-197-38.eonet.ne.jp
cr1-162-240.seaple.icc.ne.jp, eatkyo204252.adsl.ppp.infoweb.ne.jp
nttkyo332235.tkyo.nt.ftth.ppp.infoweb.ne.jp, nttyma034077.tyma.nt.ftth.ppp.infoweb.ne.jp, ntaich191135.aich.nt.ftth4.ppp.infoweb.ne.jp
dsl012-191.kcn.ne.jp, f190177.mctv.ne.jp, dhcp-5461.nava21.ne.jp
p5069-ipbfp02niho.hiroshima.ocn.ne.jp
p3233-ipbf1004marunouchi.tokyo.ocn.ne.jp
pc049129.f1.octv.ne.jp, p6ef193.tokyte00.ap.so-net.ne.jp
d2c67f3e.t-net.ne.jp, q057242.ppp.asahi-net.or.jp
softbank060090140029.bbtec.net, softbank218119236136.bbtec.net, softbank218139183208.bbtec.net, softbank218180180072.bbtec.net
softbank219040162002.bbtec.net, softbank220003038213.bbtec.net, softbank220031167032.bbtec.net, softbank221029010121.bbtec.net
softbank221059203138.bbtec.net, softbank221083136013.bbtec.net なんかネットエージェントみたいなことをやってるなwwww ■ このスレッドは過去ログ倉庫に格納されています