【春雷】 イオナズン対策スレッド Part3
■ このスレッドは過去ログ倉庫に格納されています
ちゃんとそれ用にスレ立てるなりして注意書きしたほうがいいかもね >>322
sageで本文をまとも(っていうのも変だけど)に
しておけば焼かれなかったはずなのに
ただのアホじゃん 俺も途中から「テスト」ってのをセットしてみたけど
やっぱり連投規制で引っかかってる感じだね 183 名前: ちょろ ★ [sage] 投稿日: 2006/04/09(日) 04:45:04 ID:???0
テストするときは
ここで宣言してからの方がいいっすよ
ってあるのに何で先走ってテストするの 1鯖に1板で強制フシアナだから狼使うのは悪くないと思うけど
普段でも負荷の高いハロモニの時間にやるのは鯖にやさしくないと思うの
イオナズンのテスト知らない人も多いから宣言してからにしてほしいの あーそうそうモチ同じとこ
つかID変わってるけど一応宣言済みですw
278 名前:名無しの報告[sage] 投稿日:2006/04/09(日) 10:21:31 ID:2ByAuRXh0
ちょいとVIPのexeスレ残ってたんで
埋めテストしちゃいますよ。 あー、そうか。
書き込めなくてもbbs.cgiは叩くんだよね。
焼いただけだと。 >>335
ですね<テスト宣言
というわけで、今後(このレス以降)宣言せずにテストした/している人は、
焼きますので、ご注意下さい。
>>334
お疲れさまです。
とりあえず、今回は保留させていただきます。 >>334補足
ホスト名表示件数:981/1001
重複を除いたホスト数:140/1001
ユニークアクセスはかなり減った。
スレ潰すまで永遠と攻撃し続けるのかな? 昨夜exeうpしたものだが、その50以上あるとかいうNoCDたちのハッシュリストある?
あるなら捏造警告出しとくよ。 ここか。俺実況板で2回関係なく書き込んでしまったけどやばいの?
>>332
お前、以前ハングル板を荒らしたよね >>302 >>343
お前の●の最後が vSlGO06A なんだよ。
同じクレジットカードで複数の●を買うと、後ろの8桁が同じになるはずなんだよね。 >>344
>同じクレジットカードで複数の●を買うと、後ろの8桁が同じになるはずなんだよね。
コレの証拠は? どういう仕組みかワカランが
人為的に矛先向けて爆撃させられるんだな
すげぇ おれのこころのとびらをひらくには
http://live22x.2ch.net/test/read.cgi/livejupiter/1144540667/
これってなんかの荒らし?実験?何にも説明ないから荒らしだと思って書き込んだけどさ。
とも思って色々見たらイオナズンなんだな。 亀レスですが、>>242の〜.2ch.net以外は爆撃対象外というのは、スクリプト解析結果でしょうか…?
仮に "http://"+鯖名+"/test/read.cgi/"+板名+"/"+キー+"/" を対象、とかだと、>>244-253でも、
bbspinkにもイオナズン飛びそうなんですが、どうでしょう?
スレ立てて実験してみる価値はあるでしょうか? イオナズンの元に2ch.netがあるから鯖名にそれを含んでないと駄目かなぁって思ってた saba:sakura03.bbspink.com
ita:neet4pink
key:1144433657
comment:からけ ◆774NGe1.Ho
発動はしないみたいだな
からけ ◆774NGe1.Ho
http://sakura03.bbspink.com/test/read.cgi/neet4pink/1144433657/ >>352
もし*.2ch.net限定にするなら、イオナズン詠唱コードに、「ex11.2ch.net」部分全部では無く、「ex11」だけ暗号化しそうだと思ったのです。
逆に汎用性を持たせるならURL全体を暗号化しそうですし…
もしかしたら2chの形式のURL(http://***/test/read.cgi/***/***/)ならどこでも当たるのかな、と...
>>359
http://ex14.2ch.net/test/read.cgi/news4vip/1144520754/26
サーバー:sakura03.bbspink.com
板:neet4pink
Key:1144433657
書き込み内容:からけ ◆774NGe1.Ho
http://sakura03.bbspink.com/test/read.cgi/neet4pink/1144433657/
当たってませんね...
スクリプト内で2ch.netを含む確認をしてるのかも...? >>340
NoDVDパッチ [18禁ゲーム] 転娘!?〜とにかくよく転ぶドジっ娘たち〜 [060317].zip 195,205 d9839e879f4bd3f64791c8f7f026a144
NoDVDパッチ [18禁ゲーム] お帰りなさいませ☆ご主人様♪ [060317].zip 195,179 0bdcf9554b98cde5ef716743617d9365
NoDVDパッチ [18禁ゲーム] がくと! [060317].zip 195,141 84b08a1b8e28426065fea4abd5f9d8a0
NoDVDパッチ [18禁ゲーム] エロ医 [060317].zip 195,137 1ed0e80fed1b0a0b440744045b500146
元
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1138882062&ls=564&offline=1
人柱
ttp://p2.chbox.jp/read.php?bbs=download&key=1138882062&host=tmp6.2ch.net&ls=all&field=id&word=hbndCuTu0&method=just&match=on&idpopup=1&offline=1
---
hashdb.comとダウソのログ照らし合わせて抽出中
また見つけたらここで報告してもいいのかな('A`)
news4vipのBBQはずしたら書き込み数減ること間違い無しだな
これでvip書き込み数一位の記録も終わりだ
いい気味だ >>361
サーバー:ex14.2ch.net
板:news4vip
Key:1144551106
書き込み内容:ウワチャー!
http://ex14.2ch.net/test/read.cgi/news4vip/1144551106/
だれかとめて >>362
ありがd
ちょっとイジイジしてくる。
検マルさん復帰してくれてよかったわぁ >>363
住人としては1位でも何もうれしくないわけですが・・・・・・ 相談所スレでやってたまとめを更新してみました
http://life.45.kg/sec/#iona
【ウイルス通称】 (仮)イオナズンBOT化ウイルス
【亜種名】 keygen型
【亜種名】 エロゲNoCD/NoDVDパッチ型
#間違っていたらごめんなさいです。レスが錯綜して自分も錯乱気味
#新種か何かの亜種かは、深く考えずに別立て イオナズンで今爆撃されてないサーバーもbbs.cgiが相変わらず叩かれまくり
http://mumumu.mu//mrtg/mrtg-rrd.cgi/read/ex11bbs.html
ちょっとこれは不味いと思う。
>>368
qb5にやってんの?やばくねえか? >>367
乙です。
>>369
一応言っておきますが、自分は暗号解読しただけです。
爆撃ヤバスには同意です。 >>369
ex11は、なんかすごい状態ですね。
worker MPM のテスト機だったりするので、
微妙に挙動不審になる場合があったりして。
# 6.1-RC にしようとしていたりしますが。
# 今は FreeBSD 5.4R + worker MPM ・1000超えてるスレに二回も三回も書きに来るやつは自動的に焼く
・焼き専用のスレキーを用意して、そこに書きに来たやつは自動的に焼く
ようにbbs.cgiを変更して、そこに誘導する暗号コードを書けばウハウハ
こんな感じ? ウィルステストサイトはここが空いてますよ。
jottiとの違いはKasperskyが参加していません。
http://scanner.virus.org/ 削除要請板に書き込めないと思ったらイオナズンで焼かれてたのか。
同じプロバの中に感染した馬鹿が居るという事だな…… fusianaしないテストに今更何の意味が…
それこそ模倣愉快犯じゃねーか 焼く前と比べたらかなり低速になってるようですが
いろんな板でテストするのは正直どうかと
イオナズンを知ってるのはニュー速と運営くらいだったのだから >>377
そういうことですヨ
共有のネックですネ bbs.cgiに対するアクセスだけdenyにするってことは出来ないんでしょうか?
ウイルス焼きは串と違う仕組みで焼いて、bbs.cgiはdenyにするとか、bbs.cgi実行する前に警告画面へリダイレクトとか あまりアチコチでテストやり過ぎると使用者の拡散にしかならんぞ >>381
1000に達しているスレにいつまでも書き込もうとするからでしょ >>381>>383
アホがイオナズン唱えまくれば、サーキットブレーカーになる予感。
って鯖が持たないということなんだけどね もはや、ミナデインだな・・・
ttp://d.hatena.ne.jp/keyword/%A5%DF%A5%CA%A5%C7%A5%A4%A5%F3 608 名前: 以下、名無しにかわりましてVIPがお送りします 投稿日: 2006/04/09(日) 13:30:22.20 ID:+HtXMDNL0
ウワチャー!
609 名前: 以下、名無しにかわりましてVIPがお送りします 投稿日: 2006/04/09(日) 13:30:24.73 ID:pYR7NstH0
アチョー
アチョー
http://ex14.2ch.net/test/read.cgi/news4vip/1144551106/l50
混成攻撃だな カキコテストのやつでtasukeruyoすればいいんでないでUAだしているので対象UAを焼く
とか 鯖落ちスレが少し賑わったのもこれの負荷だったのかなぁ、、、、 春雷キャッチャー@2ch掲示板を作ってそこを爆撃専用にすればいい
名無しはtasukeruyoで強制IPとかの 12:30 ぐらいのは、たぶん経路問題かなと。>>390 >>395
場合によっては同居のqb5も死ぬじゃん 運営サイドに俺がどこにいつ何を書いたかなんてお見通しなんだろうなぁ。
俺携帯だし。
運営サイドにアボンされないようにカキコするスリルは快感だ。
とトチクるってみるテスト 実験をどの板でするにしても、鯖落ちの可能性はあることだしねぇ
まぁ、新たに鯖を用意して、そこでするのなら事態は変わるけどネ・・・ つか、テストで過負荷にならないようにこのスレがあるんじゃないのか?
事前に宣言するとか、一度なにかテストしたらその結果を
分析してから次に入るとか。なんのための掲示板だか。 >> ID:R3yywanF0
【アプリ】Visual Studio2005 Professional キージェネレーター(keygen) 最新版.zip 5c650976323cad26642905dfbcb85167
元#408 & バイナリの中みた人#415
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143123969&ls=408-415&offline=1
---
【アプリ】Adobe Encore DVD2.0 キージェネレーター(keygen) 最新版.zip 195,000 4acb0022093c88510ae976dc2e5716a4
元
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1138882062&ls=747&offline=1
---
NoCD][060331] 愛玩隷嬢〜Doll〜_NODVD.zip KhE4yIobOz 187,773 2a40bde6a959e45231575d7c8237e549
元
ttp://p2.chbox.jp/read.php?host=tmp6.2ch.net&bbs=download&key=1143727987&ls=663&offline=1
---
解析込みでわかるのはここまでだった('A`)またあったら追加するね
解析レスのないものは挙げてないけど、「これトロイ/ウイルス入ってる鴨」なレスは他にもあって
共通してるのが、パッチだったらどれも
ttp://hashdb.com/ にある、[060331] or [060317] or [060324]で190KB前後のものみたい('A`) ・qb6みたいに実体は同じの別名サーバーを立てる。(たとえば、banana2848.maido3.comにqb7つくる)
・板は体裁だけで、スレたても書き込みも出来ないようにする。(bbs.cgiへのPOSTが出来ないように投稿フォームも用意しない)
・bbs.cgiは偽者にしておく(色々な判定しない書き込みに特化した軽いCGIとか、書き込んだら即denyになるCGIとか)
・架空のスレに爆撃するようイオナズンを詠唱。(http://qb7.2ch.net/test/read.cgi/ionazun/1150000000/)
スレが存在しなければ、専ブラでも書き込みできないから間違えて書き込むということはたぶん無い。 片っ端から焼きまくるのにも限界があるだろうから、感染チェックツールとか、
感染していた場合の除去ツールを制作して配布する方向でも考えてみてはどうかなと....
ひたすら受け身で対応しているだけでは、アンチウィルスベンダーの対応が遅かったり
感染者自身の対応待ちではラチがあかないのではないかと思うんだけど。 >>404
>ttp://hashdb.com/ にある、[060331] or [060317] or [060324]で190KB前後のものみたい('A`)
0331は別 060331は別すか。アイサー
[060317],,0.000171661,0.000190734,,0,1,1
[060324],,0.000171661,0.000190734,,0,1,1
これをignore.txtに追加で弾けると思います。念のため範囲は+-10kで180-200kb >>405自己レス(補足)
bbs.cgiを用意しなくても、偽板のbbs.cgiにアクセスを試みた人を片っ端から焼くという手もあるかな?
アクセスログは一部の人しか見られないだろうから、難しいだろうけど >>409
060317と060324はここのスレで扱うもの
060331はダウンロード板へ爆撃
ignore.txtファイルは小数点使えたっけ? >>411
9152のjpg弾けてるんで大丈夫だと思います。 勝手にアドオン起動する
えっーと、三井住友銀行のサイトみたく勝手に起動する埋め込み型のアンチウイルスソフトがあればいいんだ。
攻撃対象になったスレへの書き込みはトラップbbs.cgiがうけて、正しい書き込みはsubmitする情報を特定の隠しPASSを付随させるようにできたらなぁ。 >>408 >>411
だね('A`)失礼しました
追加で何かあったらまた報告しにきます nyやshareで180K〜200Kのzip、rarをはじくようにすればおk? >>415
誤爆があるだろうから、>>409みたいに日付限定したほうがいいと思う。 1000で止まらないように板の設定を変えたら、どういう動きをするんじゃろか テストを利用して感染者に感染を知らせる方法はある? ■ このスレッドは過去ログ倉庫に格納されています