このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

拡張子idaとは? 2

発言者:竹内
( Date Sunday, August 05, 2001 04:44:31 )


パケットをダンプしてみると、NタイプとXタイプでは内容が大幅に違っているそうで、
今度は日本語版のWindowsでもwebページの書き換えをされるらしいです。

さんからのコメント
( Sunday, August 05, 2001 11:02:41 )

 ログを見ると4日の20時過ぎからXタイプが来ていました。
 (今はほとんどXタイプだけです)

 しかし、凄いアクセス数です。
 こんなに感染しているサーバがあるとは・・・・・

Sunfuji さんからのコメント
( Sunday, August 05, 2001 13:35:48 )

Xタイプが来て今日は2回もMacHTTP2.3がタイプ11で落ちました.
再起動は使えないので暫く閉鎖するしかないですかね.

前薗 健一 さんからのコメント
( Sunday, August 05, 2001 14:17:32 )

ルータのログを確認したら、現在約 400 件/ 時間でアクセスがあります。
そのうちネットワークが麻痺してしまうんじゃないだろうか。

田中求之 さんからのコメント
( Sunday, August 05, 2001 17:06:24 )

このサイトでは、ここ2日で41のアタックですんでいます。X タイプは1つ
だけです。

前回は、7月20日だけでほぼ収まったんですが、今回はけっこう長引いてますね。

田中求之 さんからのコメント
( Sunday, August 05, 2001 17:13:10 )

>NタイプとXタイプでは内容が大幅に違っているそうで、

このサイトに来ていた X タイプのものは、単に N が X に置き変わっただけ
で、後の部分(末尾の文字列の部分や総バイト数)は同じでした。

いくつかタイプに分かれたのかな?

前薗 健一 さんからのコメント
( Sunday, August 05, 2001 17:31:15 )

ある程度増殖したら突然変異するようにプログラムされていたりして...

竹内 さんからのコメント
( Sunday, August 05, 2001 19:41:14 )

↓え〜と、こんな具合らしいです。

→  snort-usersからの情報

マイク さんからのコメント
( Sunday, August 05, 2001 21:35:03 )

私のサイトも8月頭からフリーズしまくりで、iMacが熱暴走したのかと、G3 MT300ハにすべてを移し、QuidProQuo1.02で運用しようとすると30分おきにフリーズしました。

QuidProQuoを使わず、ウェブ共有機能でWWWサーバーを運用しているとなんとか落ちないで済んでいます。
ただ、カウンターが QuidProQuoの機能として使っていましたのでカウンターが使えなくなっており困っております。

→  マイク・ヨコハマ

今泉克美 さんからのコメント
( Sunday, August 05, 2001 22:27:08 )

CODE−REDツー
ですか。とほほ。

http://cn24h.hawkeye.ac/

で最新の情報がまとまってました(8/5)

日本語サイトの改ざんもするってのは
すごいことになっちまったようですね。

人が休日なのに繁殖してしまって
困りますぅ。
念のために来て見たら。。


JOE さんからのコメント
( Monday, August 06, 2001 01:12:35 )

当方でも、新規にQPQ2.1.2サーバを立ち上げてみましたが、
そちらの方へも8月5日で390件のアクセスがありました。

WebStarのサーバは落ちていました。
友人のサーバルームでは、ルータがすぐにコケてしまうということでした。

ウチに来たアクセスログを調べてみたところ、
ソネットのダイヤルアップサーバからのアクセスもありました。

台湾系のサイトからのアクセスが多い様です。

須藤智洋 さんからのコメント
( Monday, August 06, 2001 01:36:46 )

social-engのサイトは落ちているようですが
qpq2.1.3がここ↓にありました


→  http://allmacintosh.lol.li/graphite/adnload/dlquidproqmac.html

たまちゃん さんからのコメント
( Monday, August 06, 2001 11:55:01 )

>WebStarのサーバは落ちていました。
>友人のサーバルームでは、ルータがすぐにコケてしまうということでした。

ルータが落ちたから WebSTAR が落ちているように見えるのでしょう
か。それとも WebSTAR 自体が落ちていますのでしょうか。

WebSTAR のバージョンはどうなっているでしょうか。

しあわせのツボ さんからのコメント
( Monday, August 06, 2001 11:55:51 )

めたりっくに障害、インターリンクが異常に遅い、など
被害が顕在化してきたようですが、
出社して確認したところ、当然うちにも続々と押し寄せてます。

ルータのログ(500行)が30〜40分で流れていきます。
全て(未使用IPへの)TCP80のrejectです。
もちろんサーバのログにも1000件近くdefault.idaが。
しかもその大部分がunique IPです。

今まで「○○ワームが大流行」と言われてもいまいち実感が
なかったのですが、「このIPひとつひとつが全部感染
してるんだよな」と思うと、その広がりがまさに身をもって
感じられます。

前薗 健一 さんからのコメント
( Monday, August 06, 2001 12:11:42 )

QPQ 用というか、Code Red Killer という Filter plug-in を
作ってみました。

うちでのテストは OK です。
田中さんには送りました。

問題なければ公開します。

リクエストに .ida があったら、ルートのインデックスファイルを
reply するだけの plug-in です。(^^;;

JOE さんからのコメント
( Monday, August 06, 2001 12:53:26 )

>ルータが落ちたから WebSTAR が落ちているように見えるのでしょうか。
>それとも WebSTAR 自体が落ちていますのでしょうか。

ルータそのものが弱いせいでしょうが、
アクセス増大に因ってルータ自体が落ちたそうです。

WebSTARは4.0で、上記の話とは別のネットワーク内の話です。
こちらも、アクセス増大で落ちた可能性があります。
※マシンは8100/80+Sonnet Creschend G4/400です。
QPQ、Web Crossingのサーバは問題ないのですが・・・

どんどん被害が広がっている様に思えます。
1分間に3〜4件程のアクセスになってきています。
パッチを充てていない、「無責任な」管理者が多過ぎますね。

JOE さんからのコメント
( Monday, August 06, 2001 13:44:33 )

QPQ 2.1.3のログで、今まではエラーばかりだったのですが、
ここに来て、OKフラグがたっています。

08/06/2001  13:36:46  ERR!  210.226.224.42  /default.ida  2253
08/06/2001  13:36:53  OK  203.241.168.33  /default.ida  0
08/06/2001  13:37:27  OK  203.241.168.33  /default.ida  0
08/06/2001  13:37:45  OK  203.241.168.33  /default.ida  0

QPQの誤作動???

いとうみき さんからのコメント
( Monday, August 06, 2001 14:17:35 )

みなさん、どもです

御多分にもれず、うちのサイトにもCodeRed/CodeRed2によるアクセスが続いており、QPQと
ASIPでなんとか持ちこたえていると言う状況です。頻度は、CodeRedで1時間に数件程度だった
のですが、CodeRed2では1分間に数件以上と言う状況に変わっており、ワーム拡散の速度には
驚かされます。単純計算でも、60倍ですからね。あまりの多さに、管理者宛メールをする気に
もなれなくなります。
前薗 健一さん
そのプラグイン、完成したら教えて下さい。うちでも使用してみたいので。

田中求之 さんからのコメント
( Monday, August 06, 2001 14:24:21 )

前薗さんに送ってもらった Plugin を手元の QPQ 1.02 で試してみました。

うまくいきます。 Red Code と同じアクセスをかけてみても、QPQ は落ちません
(おちずに、ちゃんとトップページへのアクセスとして処理される)。

というわけで、とりあえずベータ版として公開して、みなさんにテストして
もらったらどうですか?>前薗さん

田中求之 さんからのコメント
( Monday, August 06, 2001 14:44:35 )

Code Red 2 の情報です。まぁ、Mac サーバには感染の恐れは全く無いんです
けど、情報として目を通しておかれることをお勧めします。

→  Code Red IIについての警告

たまちゃん さんからのコメント
( Monday, August 06, 2001 14:52:08 )

>Code Red IIについての警告 

この文書はかなり正確だと思いますが,もし本当に正確だとすると
同じネットワーク内で感染しあうというこれまでにない傾向がでて
きます。

上位2オクテットが同じホストからリクエストがあるとすると,自
分の属しているネットワークによってリクエスト数の大小の違いが
出ているんだと思います。

さとう さんからのコメント
( Monday, August 06, 2001 15:52:53 )

OS8.1 + QPQ1.0.2を使用していますが、やはり落ちます。
ただ落ちるだけなら良いのですが、
それ以降(再起動後)そのウエブサーバにアクセスしようとしても
全く反応ありません(接続に失敗します)。
ちなみにサーバ名でたたいてもIPでたたいても同様です。
Pingも返ってきません。
AppleShareではそのサーバは見えているので
ケーブル類には問題ないはずです。
80番ポートがどうかしちゃったんでしょうか?

同様の症状の出ておられる方いらっしゃいませんか?
また対処の方法をご存知の方いらっしゃいませんか?
OS再インストールからはじめなくてはいけないのでしょうか?

前薗 健一 さんからのコメント
( Monday, August 06, 2001 16:02:02 )

昼寝してました。(^^;;

とりあえず版 ( ベータ版ともゆう ) を公開します。

"default.ida" を含むリクエストに対してはロートのインデックス
ファイルを reply します。それだけです。

無料です。しかし、この plug-in を使用することによる
一切の責任を私はおいません。

→  Code Red Killer

田中求之 さんからのコメント
( Monday, August 06, 2001 16:21:20 )

私が試したかぎりでは QPQ 1.0x (1.0 と 1.02 で試しました)で Code Red
によるアタックをちゃんと回避してます(ルートへのアクセスに置き換える)。

まったくクラッシュしません。AppleScript での PreProcessor では回避
できなかったので、ちょっと不安だったのですが、よかったよかった。

とりあえずこれで QPQ 1.x のクラッシュは回避できるのではないかと思います。

ありがとうございます>前薗さん

たまちゃん さんからのコメント
( Monday, August 06, 2001 16:31:50 )

WebSTAR 4.4 でも試してみました。すばやくインデックスファイル
を返してくれました。

有り難うございます。前薗さん。

重松修 さんからのコメント
( Monday, August 06, 2001 16:51:53 )

前薗さん、ご苦労様です。

インデックスファイルを返す、とのことなんですが、
何も返さなくてもよいのではないでしょうか?
インデックスファイルは案外サイズがあると思いますので、
ワーム相手に律儀に返事をするのは輻輳の原因だと思われます。

中には、www.microsoft.com にリダイレクトするように返事する人も
いるようですが、結局 2 倍輻輳の原因になるので、どうかと思いつつ、
気持ちはわからなくもないです。

田中求之 さんからのコメント
( Monday, August 06, 2001 17:54:44 )

>ワーム相手に律儀に返事をするのは輻輳の原因だと思われます。

確かにそうですね。

QPQ 1.x のクラッシュを防ぐことを目的にして、W*API の filter plugin と
して作られていますので(なにせアクセスの処理が少しでも QPQ にいったら
その時点で死んでしまいますので)、アクセス自体を殺す(無視する)こと
はできないんですが(W*API 読み返してみたけど、Filter ではやっぱ無理
みたいです)、「ルートのアクセスへの書き換え」の部分を、「ルートの
HEAD アクセスへの書き換え」にすれという手はありますね。ヘッダしか
返さない分、データ量は減りますから。

"GET / HTTP/1.0\r\n\r\n" を "HEAD / HTTP/1.0\r\n\r\n" に変更するわけです
>前薗さん

今泉克美 さんからのコメント
( Monday, August 06, 2001 18:27:35 )

おしえてもらった情報です。

Code Red のパート2は
感染力が凄く高いように改造されているとのことです。
従来はメモリ常駐のみでしたが、ディスク上の
システムファイルなどを修正した上でバックドアも
作成するそうです。

再インストールしかないとのこと。

一番心配なのは、第一世代でアタックした穴が
ふさがっていると題に世代では、別な穴を
ほじくるそうです。したがって
第一世代用のパッチをかけて安心している
MS−IISの管理者さん達は、ふたたび
対応しなくてはいけませんが、その認識が
はたしてどのくらいのスピードで
伝わるのか、、休日をはさんでいたので
もう手遅れかもしれないサーバがかなり
あるということですね。
まだ正式にパッチのアナウンスが出てないようですが、
穴は、従来からみつかっていた穴だそうです。
でも、第一世代用の穴が6月にはパッチの知らせが
発表されていたことを考えると
第2世代が狙ってくる穴もまだ
いっぱいあいていることでしょうね。


前薗 健一 さんからのコメント
( Monday, August 06, 2001 18:29:30 )

to 重松さん
やろうと思えば仕様はいくらでも拡張できます。
例えば pi_admin.codered で reply するファイルを指定することも
可能です。今回は緊急事態とも思える状況でしたので、私の独断でこういう
仕様にしました。(^^;

to 田中さん
そうか。GET じゃなくて HEAD にした方がトラフィックは少ないですね。
W*API のサンプルそのまんまがばればれですね。(^^;
バージョンンアップすることがあれば対応します。


今泉克美 さんからのコメント
( Monday, August 06, 2001 18:45:37 )

とかいっているあいだに、
はまもとさん主宰の

「24 時間常時接続メーリングリスト」
(http://cn24h.hawkeye.ac/connect24h.html)

に関連するリソースが投げ込まれていました。

重要ですので、引用させていただきます。
情報をくださったみなさま、ありがとうございます。

-------------------------
Winセキュリティ虎の穴に情報がありました。

橋本さんがCode Red IIをまとめられてます。

Code Red IIについての警告
http://www.reasoning.org/jp/security_alerts/hashsa-2001-02.html
---------------------------



→  Code Red IIについての警告

稲垣 さんからのコメント
( Monday, August 06, 2001 18:59:17 )

> Code Red のパート2は
> 感染力が凄く高いように改造されているとのことです。
> 従来はメモリ常駐のみでしたが、ディスク上の
> システムファイルなどを修正した上でバックドアも
> 作成するそうです。
> 
> 再インストールしかないとのこと。
> 
> 一番心配なのは、第一世代でアタックした穴が
> ふさがっていると題に世代では、別な穴を
> ほじくるそうです。したがって
> 第一世代用のパッチをかけて安心している
> MS−IISの管理者さん達は、ふたたび
> 対応しなくてはいけませんが、その認識が

 先の今泉さんのポストに少しだけ誇張があるようで・・・。

 スレッドの先の方で田中先生が紹介しているサイトの情報では、Code Red IIでも、感染方
法は同じだそうなので、Code Red IIでは先のCode Redに対応しているサイトは感染するこ
とは無い様です。
#IIIが出た時に大丈夫かどうか不明ですが・・。

 ただし、Code Redに対応していないサイトには感染しますので、Code Red IIに感染して
しまった場合には、再インストールをするしかない様です。
 Code Red IIではアタックした際に、別のセキュリティホールを利用して、コントロール用
のバックドアを作っていく様です。

 指摘が正しく無い場合には、突っ込んで下さい>博識の方々

あゆみ さんからのコメント
( Monday, August 06, 2001 19:00:26 )

>QPQ 用というか、Code Red Killer という Filter plug-in を
>作ってみました。
>リクエストに .ida があったら、ルートのインデックスファイルを
>reply するだけの plug-in です。(^^;;

ただ単に,変更不可にしたサイズ0のdefault.idaというファイルを
ルートに置いておいたんではまずいんでしょうか?
亜種が出て別の名前でアクセスしてくるまでは事足りそうな気もしますが.

稲垣 さんからのコメント
( Monday, August 06, 2001 19:04:29 )

 っと、書いていて指摘のサイトを再度みたら、やはり別のアタックをしかけるとありましたね。
私の指摘方が間違っていました。すみませんでした。
#ただ、このセキュリティホールも既知なんですね。


田中求之 さんからのコメント
( Monday, August 06, 2001 19:28:04 )

>ただ単に,変更不可にしたサイズ0のdefault.idaというファイルを
>ルートに置いておいたんではまずいんでしょうか?

これではクラッシュは防げません。 QPQ がアクセスの処理を行おうとした
瞬間にクラッシュするため、Plugin で介入する(QPQ が処理を行う前に
割り込む)しか手はないんですよ。

ひげおやじ さんからのコメント
( Monday, August 06, 2001 20:47:43 )

早速 Pluginを活用させて戴きます。> 前薗さん
どうしても QPQを2.Xに上げたくないServerもありまして
このPluginが解決してくれるでしょう。
感謝です。

Blue-M さんからのコメント
( Monday, August 06, 2001 21:23:46 )

初めてPostしますが(いつもROM)、今回は みなさんのCode Redに関する素早い情報がとても役に立ちました。またCode Red Killerもすぐに試させていただきました。お陰で 一端は沈没した5台のQPQ Web Serverが蘇ったようです。 いろいろと本当にありがとうございました。感謝! 多謝!!  です。

たまちゃん さんからのコメント
( Monday, August 06, 2001 21:53:15 )

QPQ 1.0.2 が現在ダウンロードできるサイトはないでしょうか。

いろいろ探しましたが,すべて本家を指しています。

たまちゃん さんからのコメント
( Monday, August 06, 2001 22:15:14 )

Release Notes を読んでいたら

The Quid Pro Quo distribution (in the form of the full installation 
program) may be redistributed without prior permission, provided it is 
done at no charge to the user.

と書いてありました。再配布できるんですね。

#Windows ユーザ(特に IIS ユーザ)のためのマニュアルを作成
しようかなという気が少し起こってきたので。。でも調べたらいろ
いろあるようです。

須藤智洋 さんからのコメント
( Monday, August 06, 2001 22:31:36 )

Code Red Killer、試させていただきます。

qpq1.0.2、とりあえずここ↓にありました。

→  http://ttc.salkeiz.k12.or.us/software/mac.html#server

たまちゃん さんからのコメント
( Monday, August 06, 2001 23:27:30 )

>qpq1.0.2、とりあえずここ↓にありました。

有り難うございます。探し方が足りなかったようです(反省)。

今,マニュアルを作成中です。Code Red Killer も紹介済みです。

#早くつくらないと。。

マイク さんからのコメント
( Tuesday, August 07, 2001 00:13:40 )

 Code Red Killerを Plug-insに入れて再起動したところ、クラッシュが止まりました。

 みなさん、ありがとうございました。これまでのようにQPQ1.02でログがみられるので一安心です。

 私のような無名のサイトでも1時間に数回は、Red Warmが飛び込んでくるようです。

 今回のトラブルを期にパスワードの変更、バックアップ(CD-R2枚)でそこら中のマックのバックアップを取りました。

 今後も Red Warmの活動から目が離せませんね。

たまちゃん さんからのコメント
( Tuesday, August 07, 2001 00:32:25 )

>今,マニュアルを作成中です。

できました。疲れました。オヤスミナサイ。

JOE さんからのコメント
( Tuesday, August 07, 2001 00:45:16 )

>私のような無名のサイトでも1時間に数回は、Red Warmが飛び込んでくるようです。

有名無名は関係ない様ですね。
今までは使用していなかった新規のIPで
テストとして、新規WEBサーバを立ち上げてみました。

あっと言う間にアクセスがかかりました。

kmbp さんからのコメント
( Tuesday, August 07, 2001 03:49:55 )

WebSTAR 4.4を使用していていましたが私のところへは全く影響ないように
思えましたので様子を見守っていました。

しかし先ほどTimbuktuでサーバをLookしていた最中、ステータスウインドウ
に /default.idaが見えた瞬間、無念にもクラッシュしてしまいました…

夜な夜なPowerKeyでリスタートかかって起こされるのも嫌ですので、私も
Code Red Killerを早速使用させていただきます。
ありがとうございました。

ウシャギ さんからのコメント
( Tuesday, August 07, 2001 06:10:04 )

前薗さん、Code Red Killer は本当に有り難いです。
QPQ2.1.3はいくら再読み込みしてもページが更新されないので
困っていたのですが、旧バージョンに戻せて解決です。
現在Code Red Killer導入後6時間程ですが、120回位のdefault.ida要求を
みごとにかわしてくれています。

たまちゃん さんからのコメント
( Tuesday, August 07, 2001 07:56:43 )

>しかし先ほどTimbuktuでサーバをLookしていた最中、ステータスウインドウ
>に /default.idaが見えた瞬間、無念にもクラッシュしてしまいました

OS のバージョン等分かりませんが,Timbuktu 5.2.4 で見ていた
としたら,Timbuktu 側の問題かもしれません。

山本 武 さんからのコメント
( Tuesday, August 07, 2001 11:54:05 )

Code Red Killer 助かっています。
昨日はまったくの原因不明で、ひょっとしたらシステムに原因があるのではと思い途方に暮れていましたが、インストール後は攻撃が数分にきていることがはっきり
しました。

本当にありがとうございました。

JOE さんからのコメント
( Tuesday, August 07, 2001 13:42:34 )

前薗 健一様、Code Red Killerを当方のページでも紹介したいのですが、
よろしいでしょうか?

ちなみに下記ページが当方のページです。

→  Alwaysmac

前薗 健一 さんからのコメント
( Tuesday, August 07, 2001 13:58:23 )

御自由にどうぞ。

tom saito さんからのコメント
( Tuesday, August 07, 2001 18:50:19 )

前薗 健一さん、Code Red Killer、ありがとうございます。
本当に、助かりました。
私のところでは、mailサーバーの同じマシンで動かしていたため、4、5日の間、qpqを停止していました。昨日より、利用させていただきました。
相当の量、アタックされています。多いと、1分に1回くらいの割合です。
先程、一度、フリーズしましたが、とりあえず、以前と比べれば格段の違いです。
本当に、ありがとうございまいした。

toyo さんからのコメント
( Tuesday, August 07, 2001 19:22:20 )

うちもCodeRed killer使用させて頂いてます。
WebStar3.0.2JとAppleShareIP6.3.3Jにて運用しています。
今日一日問題なかったようで本当に助かってます。
因みにAppleShareの方はワーニングメッセージ
出てなかったようですがHomePage送り返しているようです。
ホントにありがとうございます、前薗様。