このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

拡張子idaとは?

発言者:sayano
( Date Friday, July 20, 2001 09:32:55 )


昨日ぐらいからWEBサーバーのログにdefault.idaというファイルの
要求があるんですが何かわからないでしょうか?
今日朝から頻繁にきてるんですがアドレスは全て違ってます。
はじめが63.229...とか211.114...とかバラバラです。

たまちゃん さんからのコメント
( Friday, July 20, 2001 15:46:00 )

現在,巷間を騒がしている "Code Red" worm です。

→  CERT Advisory CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL

sayano さんからのコメント
( Friday, July 20, 2001 17:12:29 )

情報ありがとうございます。英語なのでよくわからないのですが
どういうことなんでしょうか。
現在はこなくなったようです。

たまちゃん さんからのコメント
( Friday, July 20, 2001 17:32:35 )

IIS の脆弱性をついてくる worm です。この脆弱性自体については
以前に分かっており,パッチも公開されていたのですが,余りにも
多くのサイトでパッチが当てられていなかったために被害が蔓延し
ているようです。

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010719/1/

http://japan.cnet.com/News/2001/Item/010719-6.html

http://www.zdnet.co.jp/news/0107/19/e_codered.html

などもご参照ください。

今井真人 さんからのコメント
( Saturday, July 21, 2001 00:08:07 )

私のところにも来てました。

default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

というむちゃくちゃ長いURLを叩きに来ます。バッファオーバーフローを狙っている感じです。

sayano さんからのコメント
( Saturday, July 21, 2001 09:24:34 )

>IIS の脆弱性をついてくる worm です。
そういうことですか。多少安心しました。
困ったものですね。

今井真人 さんからのコメント
( Monday, July 23, 2001 08:18:55 )

全く外部に接続すら知らせていない公開していない自宅サーバまで、
default.idaを叩きにきてました。

IPアドレスを1づつ足して順に叩くようなことをやっている感じです。

石津@RJC さんからのコメント
( Monday, July 23, 2001 13:47:01 )

別件もあって調べてみました。
うちのメインWebサーバにここ1週間で177件の.idaリクエストがありました。
かなり広範囲に普及?してしまっているようですね。
WEB*MLにはこれで落とされて激怒している人もいるようですし。

自動化されたワームって繁殖力ほんとにスゴイですよねぇ。

田中求之 さんからのコメント
( Monday, July 23, 2001 14:31:44 )

先週のこのサイトのログを調べてみたら、7月20日に24件の .ida
リクエストが来てました。

あたりかまわずアクセスしまくってるみたいですね。

重松修 さんからのコメント
( Monday, July 23, 2001 15:19:02 )

私も気になったので調べました。
そうしたところ、何故か 20 日にだけしかアクセスがないようです。
とりあえず、ホストは、
grep [.]ida access_log | cut -d' ' -f1 | sort -n
24.237.6.212
24.3.217.156
62.46.252.204
63.137.192.16
63.202.219.67
66.1.3.30
66.56.75.188
148.235.142.245
195.19.24.103
195.196.43.113
206.191.32.65
206.252.213.245
207.102.26.242
207.238.209.242
210.58.102.7
211.44.213.180
211.47.65.250
211.72.180.234
212.187.80.62
212.75.73.36
216.129.202.60
216.167.77.207
216.205.125.195
216.248.166.20
216.31.154.106
というような状態で、完全にバラバラです。

とりあえず、うちは、Apache なので、このワームは関係なく、
感染するようなことはないと理解して問題ないでしょうか。

たまちゃん さんからのコメント
( Monday, July 23, 2001 15:54:34 )

>とりあえず、うちは、Apache なので、このワームは関係なく、
>感染するようなことはないと理解して問題ないでしょうか。

感染しないという意味ではその通りだと思います。その他に影響が
出るのは

http://www.cert.org/advisories/CA-2001-19.html

によると,

* Unpatched Cisco 600-series DSL routers

* Systems not running IIS, but with an HTTP server listening 
on TCP port 80

で後者はエラーを延々と出し続けるということです。一種の DoS
攻撃にもなっているようですので,サービス不能に陥っているサ
イトもあるようです。

たみ さんからのコメント
( Tuesday, July 24, 2001 10:25:04 )

ウチのサーバもCodeRedに感染したもようです。
どうやら、1-19日潜伏、増殖期間 20-27日攻撃期間 28-月末休眠期間
を繰り返すようですね。

で、うちのサーバはhttpポートがダウンしてしまったのですが
CodeRed感染とポートダウンの因果関係が良く分かりません。
ログには.idaのGET要求は1度しか来てないですし、他に怪しいログは在りません。
このワームに感染して、ポートがダウンすることなどあるのでしょうか?

今井真人 さんからのコメント
( Tuesday, July 24, 2001 10:40:30 )

>このワームに感染して、ポートがダウンすることなどあるのでしょうか?

私が紹介したような長いURLだと処理に時間がかかるかもしれませんね。
そうするとサーバ内では処理用にメモリをどんどん割り当てるはずです。
最後には耐えられなくなり、80番ポートが使えなくなったり、システム
ダウンすると思われます。


今井真人 さんからのコメント
( Friday, July 27, 2001 08:32:37 )

ここんところワームの活動はうちのウェブサーバでは見られなくなり
ました。次回は8月20日ぐらいかな。

sayano さんからのコメント
( Thursday, August 02, 2001 08:46:37 )

昨日の9時ぐらいから頻繁ではありませんがまた来てます。
Macの場合何か被害が出る可能性はありますでしょうか?

今井真人 さんからのコメント
( Thursday, August 02, 2001 09:58:49 )

私のところにも、昨晩から6件ほど来てます。マックサーバの場合、特に対応は必要ありません。

しあわせのツボ さんからのコメント
( Thursday, August 02, 2001 14:45:06 )

うちにも昨日の夕方くらいから多数ご来場です。
サーバ以外へのアタックも多数あるようで、
IPフィルタがポート80をrejectしまくってます。

いっそのこと、もっと蔓延すれば、IISなどという穴だらけのサーバが
1台でも減ってくれるかもしれません。
# そうすれば少しはMacも売れる、かな?(笑)
せめて「パッチされていないサーバ」が減ってくれれば…
というのは、過去の事例からすると期待できないのでしょうね。

若紫 さんからのコメント
( Thursday, August 02, 2001 15:56:01 )

いつもお世話になっております。
当方、FMでデーターベースを公開していますが、やはり、defaut.idaのログが
ログファイルに残っていました。
今朝、7時48分からはじまっています。すでに、20件くらいきてます。
Macサーバーの場合、特に対応しなくてもよいとの今井さんのメッセージを見
てホッとしました。

田中求之 さんからのコメント
( Thursday, August 02, 2001 16:00:25 )

うちにもポチポチ来ているみたいです。

で、メインの webSTAR の方は何の問題も起きないのですが、mtsub の方で
動かしている Phantom が、どうやら、こいつをくらうタイミング次第では
フリーズしてしまうみたいなんですよ。

まぁ、もう3年ほど前のベータ版をいまだに使い続けているほうが悪いんで
すがね。

そういうわけで、もしかしたら、Phantom 検索エンジンと、それと道連れの
形で画像専用サーバが、落ちていることがあるかもしれません。あしからず。

はなばたけ さんからのコメント
( Friday, August 03, 2001 09:48:42 )

7600/132 + OS9.0.4 + QPQ1.0.2 + SIMS1.8b7 でサーバを立てています。

7月20日にQPQだけが落ちる(タイプ2エラーで終了)という現象が起きました。
それまで過去2年ほどの運用でめったに落ちることはありませんでした。

それが8月1日頃から、1〜2時間おきに頻発するようになり、
システムごと固まってしまうときもあります。

対処として、QPQのメモリ割当を増やしたり、仮想メモリを切ったり、
OSを9.1に上げたり、QPQの初期設定ファイルを移動したり、
QPQを再インストールしたりしましたが、効果は全くありませんでした。

結局、昨日からQPQを2.1.3に上げて、現在は落ち着いています。

この Code Red ワームと関係があると断定はできませんが、
QPQ1.0.2のときのログには、/dafault.ida要求がまったく残ってなく
要求がきた瞬間に固まった可能性があります。

現在のQPQ2.1.3のログには、昨日から1〜2時間の間隔で.ida要求が
残っています。

QPQ2.1.3では、特にWindowsユーザからページが更新されないと苦情が
ありましたので、1.0.2を好んでずっと使ってたのですが。

QPQ1.0.2ユーザの方で、今回同様な現象が起きている方はいらっしゃいませんか?
当方だけの現象でしたら、お騒がせして申し訳ありませんでした。

田中求之 さんからのコメント
( Friday, August 03, 2001 10:27:34 )

今、手元の QPQ 1.0.2 で試してみましたが、確かに Code Red と同じ形式で
アクセスしようとすると、タイプ2のシステムエラーで QPQ 1.02 が終了しますね。

ですから、はなばたけさんのサイトのエラー(不安定)の問題は、Code Red が
原因と思って間違いないでしょう。

はなばたけ さんからのコメント
( Friday, August 03, 2001 10:50:27 )

田中先生、早速検証していただき、どうもありがとうございました。
原因がはっきりして、ひとまず安心いたしました。

Code Red が落ち着くまで、QPQ1.0.2は使わないようにしようと思います。

今井真人 さんからのコメント
( Friday, August 03, 2001 11:26:04 )

私の自宅のmachttpは落ちません。頑丈なものです。

ひげおやじ さんからのコメント
( Friday, August 03, 2001 11:29:11 )

お初に発言させて戴きます。
(すいません。いつもROMばかりでした)

私のMy-Serverを QPQ1.02 で昨日よりサービス不能になり
他のServerのLogから「Code Red 」を確認しました。
実際に、自分のServer相手に実験をしましたら、もの見事に
こけました(笑)
瞬間に転けるので、該当ServerにはLogさえ残っておらず
原因特定に時間かかりました。
2.1に上げて、問題を回避しました。現在もアタックを受けています。
(2.1のLogにはしっかりと残っています)

ERA さんからのコメント
( Friday, August 03, 2001 11:49:45 )

私のところのQPQは1.0でCentris650で動いているのですが、この1年間は調子がよかったのに、1週間ほど前から頻繁に落ちます。全部タイプ2のエラーとなっていました。
早速バージョンをあげようと思うのですが、どこに行ったらダウンロードできるのでしょうか。

たまちゃん さんからのコメント
( Friday, August 03, 2001 12:05:04 )

>どこに行ったらダウンロードできるのでしょうか。

ウェブの方は現在(私のところからは)つながらないので,

ftp://ftp.socialeng.com/pub/qpq/

に行ってみてください。

田中求之 さんからのコメント
( Friday, August 03, 2001 15:37:03 )

Quid Pro Quo 1.0x のユーザーの方は、2.03 にバージョンアップ(これは
これで、サーバ自体が動作不審という問題があるんですが)するか、サーバ
を取り換えるのが安全のようですね。


なお、先ほどサーバのメンテを行った際にログを確認してみたら、8月1日から
先ほどまでに、このサーバに 46 件の Code Red のアクセスがありました。

やれやれ。

田中求之 さんからのコメント
( Friday, August 03, 2001 15:54:12 )

とりあえず、会議室のトップページに QPQ クラッシュの可能性について
書いておきました。

それと、この週末、Phantom を落としておきますので、あしからずご了承ください。

toyo さんからのコメント
( Friday, August 03, 2001 20:24:16 )

私の所にもdefault.idaへのアクセスがありました。
8/1以降ルーター(NetCruz)がよく止まってしまうようで
何か変とか思っていました。
昨日は3回も止まってしまい、OCNに問い合わせたところ
CodeRedではないかと言われやっと気づいたような状態です。

ここで質問ですが、ルーター(NetCruz)に感染した場合
どのような対処あるいは確認が出来るのでしょうか?
現在ルーター停止時には、電源による再起動(メモリクリア?)
で取り敢えずの復帰するようです。

製造元のH.P.はアクセス出来ないようですし、電話番号は判らないし、
ルーター内でIISが使用されているか否かさえ判りません。
そもそもダイアルアップルーター如きにIISは使用していないと思いますが
上記の通りメモリクリア?で復帰するため不安です。

サーバーマシン自体は、Mac&Qubeであるため大丈夫だと思います。

どなたかご助言頂けないでしょうか?
あるいは下記ルーター製造元の連絡先、知りませんか?
●ルーター名:NetCruz(ネットクルーズ)
●製造会社名:Telecom Device(現在、B2B通信株式会社?)

GAKI さんからのコメント
( Friday, August 03, 2001 21:09:27 )

うちでは,QPQ2.3.1にWelcome-Plugin.21.6をいれてバーチャルホストにしている
のですが,昨日あたりから,頻繁に下記のようなエラーがでるようになりました.

WELCOME: Warning! Host www.worm.com is not configured!
Date  Time  OK  xxx.xxx.xxx.xxx  /missinghost.welcome
(Date Time xxxは書き換えてありますがあとはログそのまま)

これは,Code Red となにか関係あるのでしょうか?


前薗 健一 さんからのコメント
( Friday, August 03, 2001 21:25:28 )

YAMAHA RT80i/RTA50i ユーザの方は御注意下さい。
うちは 50i の最新ファームウェアでした。

最近 port 80 の reject log がやたらと増えていますが、これかな?

→  WWWサーバ機能の脆弱性 


Sunfuji さんからのコメント
( Friday, August 03, 2001 21:50:12 )

> WELCOME: Warning! Host www.worm.com is not configured!

関係ありそうですよ。

うちは8/1にMacHTTPからQuid Pro Quo1.0.2へ変えて
8/2の朝見たらバクダンでてました。
それですぐにMacHTTP2.3に戻しました。(遅刻しそうになった)





→  今すぐチェックを「Code Red ワームに関する情報」

GAKI さんからのコメント
( Friday, August 03, 2001 22:09:15 )

Sunfuji さん ご紹介のページにありました!

------
Web 改ざん
Code Red ワームに感染した場合、以下のメッセージに Web が書替えられることがあります。

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
------

でも,そもそもMacのサーバーですし,Welcom-pluginのレベルではねているようですので,
QPQはフリーズも改ざんもなく安定して動いています.

Mr X さんからのコメント
( Saturday, August 04, 2001 04:31:55 )

以下のようなWebの改ざんが起きるのは英語版のOSだけのようです。

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

以下のアドレスによればWormは感染後...
1.スレッドを100個作成する
2.最初の99個のスレッドでランダムなIPアドレスにアッタクする。
(完全にランダムでは無いようですが...)
3.最後のスレッドでEnglish(US)かどうかチェックする。
US版の場合ウェブの“表示”を改ざんする。テキストを改ざんするのではないみたいです。いわゆるメモリだけのことです。
4.月の1日から20日の間だけ上記のような動きをします。21日から28日はwww.whitehou.gov(ホワイトハウスはCodeRedを避けるためIPを変更しましたが...)に100kbyteのデータを1byteづつ送りつけるみたいです。
ホワイトハウスがIPを変更してくれたおかげでCodeRedのバグ(?!)によって送信はされないみたいです。CodeRedは送信先を確認してから送信するみたいなので....


→  詳細はここです

石井 さんからのコメント
( Saturday, August 04, 2001 08:29:39 )

私の所でもとある学会のサーバーをQuidProQuo1.02をiMacにいれて運用
していたのですが,8月1日ごろから,フリーズし何度か再起動しても
フリーズしている状況です.Timbuktuによるリモート管理をしているため
手元でチェックできなくて困っているのですが,お宝鑑定団からリンクが
あり,久々にこちらの会議室を除いたらトップページにお知らせがあり
驚きました.
やはり,アタックを受けていたのですね.

ということで,当方のwebサーバーも一時的に停止することにしました

皆様情報ありがとうございました.


たまちゃん さんからのコメント
( Saturday, August 04, 2001 08:34:02 )

>どなたかご助言頂けないでしょうか?
>あるいは下記ルーター製造元の連絡先、知りませんか?
>●ルーター名:NetCruz(ネットクルーズ)
>●製造会社名:Telecom Device(現在、B2B通信株式会社?

製造元を調べましたが分かりませんでした(B2B通信株式会社のHP
も見ることができませんでした)。

対処としては,この問題に対応したファームウェアのアップデート
をかけることだと思いますが,連絡先も分からない製造元にすぐに
対応してもらえるかは私にも分かりません。

私なら出費がかさみますが,YAMAHA のルータを迷わず購入します。
昨日,Code Red によるバッファオーバーフローの問題がユーザか
ら rt100i のメーリングリストに報告され,その日のうちに対応を
してくれました。

ウシャギ さんからのコメント
( Saturday, August 04, 2001 09:56:41 )

はじめまして、ウシャギです。
はなばたけ さんからのコメント( Friday, August 03, 2001 09:48:42 )
「QPQ1.0.2ユーザの方で、今回同様な現象が起きている方はいらっしゃいませんか?」に
お返事させて頂きます。

うちは 7600/132 + OS7.6.1 + QPQ1.0.2 + EIMS1.3.1 +QDNSPro2.1.1J で
サーバを立てていますが、同様に7月20日に落ちていました。
それまで過去2年ちょいほどの運用でほとんどノートラブルでしたが。

それがやはり同様に、8月1日の夜から、フリーズし再起動しても
すぐにまたフリーズしてしますようになり、
いまはとりあえず諦めて、ミラーサーバーにジャンプするようにだけ
記述したページをNetPresenz4.1Jで表示するようにしています。

QPQ1.0.2のログを見ても、/dafault.ida要求は見つかりません。

ということで何の力添えにもなりませんが、
「うちも同じです」って報告だけ一応させて頂きます。

たまちゃん さんからのコメント
( Saturday, August 04, 2001 10:20:24 )

QPQ 1.0.2 の件については非常に重要な情報ですので,先ほど
MacInTouch に報告しておきました。

Junnama さんからのコメント
( Saturday, August 04, 2001 10:22:31 )

全くもって同じ状態でQPQ1.02が落ちます!(タイプ2のエラー)

私はマシンを変えてまっさらの状態(OSごと再インストール、必要ソフトのみ入
れて)でテスト、内部イントラネットでテストし(問題無し)その後外部に公開、
するとやはりタイプ2エラー...

これからログを調べますが、取急ぎサーバ−ソフトを変えるか、どうするか...

たまちゃん さんからのコメント
( Saturday, August 04, 2001 10:28:45 )

悪いことは重なるというか。。

昨日から http://www.socialeng.com/ が落ちていて,ftp.socialeng.com
の方は生きていたのですが,こちらも現在落ちているようです。

Zephyros/さわむら@MuON さんからのコメント
( Saturday, August 04, 2001 10:44:39 )

>toyoさん

NetCruzですか・・・懐かしい。以前、使っていました。

ファームにバグがあったり(DHCPにすると自分のアドレスまで他に
振ろうとするとか)、遅かったりするので、ヤマハのルーターに
買い換えました。2年以上前です。

で、そのころからファームのアップグレードは止まっていて、事実上
死んでいる機種です。サポートはB2Bのサイトに小さく載っていま
したけど(今年始めぐらいまでは)、特に何も新しい情報はなかった
ですね。

ということで、お金に余裕があるなら、買い換えられたほうがよろしい
かと。

toyo さんからのコメント
( Saturday, August 04, 2001 13:54:09 )

たまちゃん&Zephyrosさんありがとうございます。
さっそくのコメントありがたく拝見しました。
やっぱ駄目っすか。
買った私が馬鹿でした、とは思いますが何か納得できないです。
そう、私も今年一度確認したんですよb2bサイト。
それが突然無くなるというのは...。
そういう意味じゃありませんが、せっかくユーザー登録
してるんですから、何らかのアナウンスくらい出してくれても
と思うのは私だけでしょうか?
愚痴っても仕方ないので、どこかでルーター調達してきます。
(ところで潰れたんでしょうか?b2b)

はなばたけ さんからのコメント
( Saturday, August 04, 2001 15:40:25 )

ウシャギさんはじめ多くの方からの情報、どうもありがとうございました。

サーバを構築するときだけじゃなく、今回のようなトラブルのときも
こういう情報交換の場所があることをとても感謝しています。

GAKI さんからのコメント
( Saturday, August 04, 2001 17:39:49 )

おもしろい実験をしてみました.

QPQ2.3.1にWelcome-Plugin.2.1.6をいれたバーチャルホストで
「www.worm.com」というバーチャルホストを設定し,そのデフォルトを
「default.ida」にしたら,感染を目的としたと思われるアクセスが
ちゃんとこれを拾っていきました.

(これを利用して,感染を通知させることはできないでしょうかねえ)

ウシャギ さんからのコメント
( Saturday, August 04, 2001 23:53:05 )

はなばたけさんに同感です。私も本当に助かりました。このページを
読んでいなかったら、未だにQPQ1.0.2でなんとかしようと
していただろうと思います。

GAKIさんのアイデア、きゃーかっこいーー!そのアイデア通りに警告のメッセージを
書き込んだテキストファイルに default.idaという名を付けて
サーバーに入れ、自分であの default.idaで始まるすごく長いファイル要求をプラウザに入れて
みると、自分が作ったメッセージがブラウザ内にちゃんと表示されました。
そして、早速やってきた要求がそのdefault.idaファイルをGetして行きました。
(IPアドレスでWebのぞいてみたら韓国のスポーツ関連サイトでした。)

問題はサーバー監理者が、そのいつのまにか手元に有る default.idaと言う名の
ファイルをテキストとして開いて読んでくれるかどうか、ですよね。
それを読んでもらうにはどうしたらいいのでしょうね?っていうか、
そもそも Code Red ワームはこのファイルをどこかに保存してくれるのでしょうかね?


竹内 さんからのコメント
( Sunday, August 05, 2001 04:33:56 )

default.ida?NNNNNNNNNNNNN...
に続いて、
default.ida?XXXXXXXXXXXXX...
ってのが来始めましたね。
バージョンアップしたんでしょうか。(笑)
後ろにくっついてる文字は全く同じのようですが...。