このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

拡張子idaとは? 3

発言者:たまちゃん
( Date Wednesday, August 08, 2001 11:45:09 )


Code Red (II) の WebSTAR に与える影響について i2 さんから
コメントが出ています。

→  Code Red/Code Red IIに関して

田中求之 さんからのコメント
( Wednesday, August 08, 2001 13:56:47 )

Code Red のアタックで落ちていた Phantom ですが、先ほど、Phantom を
CGI モードで動かすように変更し、サーバに QPQ 1.02 + Code Red Killer
を使って、運用を再開しました。

EIMass さんからのコメント
( Wednesday, August 08, 2001 19:35:33 )

Web共有から QPQ1.02 (with Code Red Killer)に戻して1日半。
問題なく動作しております。ありがとうございました。

Web共有でしのいでいたとき、約2時間ごとに
アクセスログをチェックしたのですが、次々と学内のサーバが
感染していくのを目の当たりにしました。1日で近辺の感染できる
サーバを感染しつくしたんじゃないでしょうか。

すごいもんだと思うと同時に
管理者は何やってるんだと思いました。

someone' else さんからのコメント
( Wednesday, August 08, 2001 23:30:34 )

Code Red Killer のおかげで私のサイトも救われました!! クラッシュの
原因がわからずに悩んでいたところにお宝のページをみて、ここにやってきて
ようやく救われたという次第。

しかし、今回の Code Red の問題を、なんで MacWIRE などはちゃんと報道しない
んでしょうか? 自分たちでニュースを探さないで、単に翻訳記事とコラムで
ページ作っているだけなんでしょうか。MDonline とかいうとこの記事も、
アップルの TIL とかの紹介や自分のところの障害の話しかしていない
ようですし。

田中求之 さんからのコメント
( Wednesday, August 08, 2001 23:51:32 )

>今回の Code Red の問題を、なんで MacWIRE などはちゃんと報道しない
>んでしょうか?

私もこれは不思議に思っているのですが(それでお宝探偵団には私が通報したんです
けど)…

●単にそういう事態が起こっていることを知らない
 (Code Red Worm は MS の Web サーバの問題だとして気にしていない)

というのが、たぶん、正解ではないかと思うのですが(でも、キー・プランニングさ
んのレポートは記事になっていたよなぁ?)、もし知っていたとしたら

●Web サーバの記事、まして古いソフトの記事なんか価値がないと判断した

のかもしれません。なにせ、今、時代は OS X ですからね。QPQ の 1.x の話なんて
ニュースとして広告料(=アクセス数)が稼げる話題とは思えませんから。Cocoa の
解説文書がどうのこうの、って方がまだアクセス数は稼げるでしょう。

ま、真相はどうであれ、確かなことは、自分に必要な情報は自分で探して見つけ出し、
内容は自分で判断していくしかない、っていう、ネット時代の鉄則を忘れないってこ
とでしょうね。

もちろん、色々な人が、色々な形で情報を提供したり、この会議室のように情報交換
の場を設けていますから、それぞれの特色(特徴)をふまえて、うまく使っていくっ
てことが大切なんだと思います。個人的には、MacWIRE は、サイト運用に関して役に
立つ情報はほとんど載らない場だと思っています。新製品情報とコラムのために私は
読んでます (^_^;;

たまちゃん さんからのコメント
( Thursday, August 09, 2001 00:19:43 )

>●Web サーバの記事、まして古いソフトの記事なんか価値がないと判断した

これは私も感じました。MacInTouch に報告しましたが,いつもな
ら「Thank you!」というお礼のメールがくるのに,今回は来ず,ま
た記事中の扱いもついでといった感じでした。

でも someone's else さんにとってこの会議室を見つけるきっかけ
になったといい方に考えればいいと思います。

この会議室に集ってくる方々は,もちろんいろんな情報源から情報
を集めていますが,自らが体験したことや,テストしたことを書き
込んでいますので,何か問題が起こったときに自分に起こった問題
のように答えてもらえることがしばしばです。

このような場所が Windows の世界にあまりないことが彼らの不幸せ
の原因の1つだと思っています。

#MacWIRE さん。Mac OS X Server のきちんとしたレビュー記事を
お願いしますね。もちろん自分でテストした結果をです。とここで
書いても仕方がない(要望があれば私はいつも当事者に直接伝えま
す)。

sayano さんからのコメント
( Thursday, August 09, 2001 11:19:29 )

下記のようなログが残ってましたがどういうことでしょうか?
サーバーはMacですが気持ちが悪いですね。
ERR!  ???.???.18.51  :scripts:..%5c%5c..:winnt:system32:cmd.exe  0

たまちゃん さんからのコメント
( Thursday, August 09, 2001 12:16:44 )

ログから判断すると sadmind/IIS ワームといったところでしょう
か。

前薗 健一 さんからのコメント
( Thursday, August 09, 2001 12:46:15 )

"%5c" は \ ですので、\\ だからネットワーク越しで cmd.exe を
起動しようとしているんでしょうね。パラメータは "0" ?

C:>\winnt\system32\cmd 0

ってやったらどうなるんだろう。PC マシンは持っていないので試せません。

sayano さんからのコメント
( Thursday, August 09, 2001 13:33:19 )

詳細なログを取ってなかったので"0"のところはよくわかりません。
Code Redの場合も詳細なログでない場合は default.ida 0になってますので
後に何が続いているかわからない状況です。
Code Redの騒ぎに紛れて何かやってる人がいるんでしょうか?

新居雅行 さんからのコメント
( Thursday, August 09, 2001 14:30:14 )

すみませんです。今日、MDOnlineで記事を流します。

→  MDOnline

竹内 さんからのコメント
( Thursday, August 09, 2001 14:35:05 )

おおお、新居さん、おひさしぶりです。
楽しみにしております。

稲垣 さんからのコメント
( Thursday, August 09, 2001 15:21:48 )

 ブラウザで設定する機材も影響を受けている様です。

 使い方次第でしょうが、自分のところのルータ(BA512)も通信ができなくなります。
自分のところだけでは無く、別のMLでも同じ症状を聞いたので、こちらに書き込みます。

→  ADSLでサーバ

今井真人 さんからのコメント
( Thursday, August 09, 2001 23:09:40 )

CodeRed向けのIISのセッティングは非常に複雑怪奇なので、
なかなか素人には難しいようです。対策が素直に全てのサーバ
に行われるか?と考えると無理じゃないかとしか思えない。

『コード・レッド』対策用パッチは不安で一杯
http://www.hotwired.co.jp/news/news/20010806301.html

>指示の内容は結局、3つのパッケージの最新ソフトウェアを
>インストールし、SRPをインストールしてから、6つの問題
>回避策をとって3つの修正パッチを当てる

→  『コード・レッド』対策用パッチは不安で一杯


森下 さんからのコメント
( Thursday, August 09, 2001 23:31:17 )

CodeRedは、際限なしに攻撃を続けるわけではなくて、
遅くとも10月1日にはこつ然と姿を消してしまうようです。
実体はメモリ上にのみ存在するので、最後にサーバマシンの
再起動を行って、跡形もなく消え去るようです。

ただし、CodeRedによって作られたバックドアや送り込まれた
トロイの木馬はそのまま残されるので、静けさを取り戻した秋以降に、
本当の恐怖がやってくるかも知れません・・・。( o'Q'o )

この情報の一次ソースは下記のところです。

ところでここに、感染ホスト1台当たり帯域を80kbps食い潰すとあります。
うちのネットの上流はZAQですが、
最近実効速度が普段の3分の1程度になっています。

→  hash's Security Alert

someone' else さんからのコメント
( Friday, August 10, 2001 00:53:01 )

>今日、MDOnlineで記事を流します。

MacWIRE で読みました。はぁ? という感じ。

井上 さんからのコメント
( Friday, August 10, 2001 10:06:12 )

皆さん始めまして、私のところでは8月1日から真っ先に、毎秒3回ぐらいの頻度で攻撃が来ました。
Webstar4.4にしているので、また回線も128Kなのでサーバーが落ちることはありません。
しかし皆さんの所より攻撃頻度が異常に多いと思うのですがどうでしょうか?
それと、攻撃の始まる直前に、中国のサイトから、WebstarAdminの不正進入を試みた形跡が残っています。
非常に気になる点です。また攻撃は、CodeRedから始まり、しばらくしてCodeRedIIに変わりました。

また昨日、やはり中国のサイトからのCodeRedの攻撃が1回ありましたが、その後、頻度が急激に減りました。
それ以外は全部最初のIPの数値が210で始まるところばかりでした。

そのことを、IPAセキュリティセンターなるところに、届け出ましたが全く、相手にされません。
#ここはなんのための存在なのか全く不思議なところです。

>Code Redは Wormによる攻撃ですので、通常無差別に行われると考え
>ておりますが、(ただし、攻撃先のアドレスが感染サイトのアドレス
>に近い所になる傾向があるため、攻撃が集中することがあるようです)
無差別とはとても思えません。おそらくDNSゾーンに攻撃先をキャッシュさせて攻撃先をある程度定めている
とおもえます。自社サイトのドメインが www.worm.comに書き直され、あるいはブランクドメインにして
攻撃してきています。攻撃先の指示もおそらく同様の形で行って、ワームによる偽のIP書き換えと、攻撃先指示
の区別がつかないようにしているものと思われます。ちなみに、私のところは昨年SPAMをやられてしまい、一晩に
26万件以上のばらまきをさせられてしまいました。そのせいで不正利用者たちの裏データーベースかなにかに
載っているものと思われます。#現在はSPAMや進入は待ったく受け付けないようにしてあります。

おそらく犯罪捜査の及びにくい中国のどこかにバックドアを仕掛けてそこを経由して攻撃指令がでているのではないかと
思われます。

ほんとは、こういうのはリバースエンジニアリングしてどういう仕掛けなのか、調べるのが順当な手段でしょう。
だれもやっていないんですねこれが、私もいそがしいのでなかなかそこまでは出来ないですが、、

井上 さんからのコメント
( Friday, August 10, 2001 10:07:57 )

IPAセキュリティセンターからの引用です
>Code Redは Wormによる攻撃ですので、通常無差別に行われると考え
>ておりますが、(ただし、攻撃先のアドレスが感染サイトのアドレス
>に近い所になる傾向があるため、攻撃が集中することがあるようです)

重松修 さんからのコメント
( Friday, August 10, 2001 10:17:22 )

>MacWIRE で読みました。はぁ? という感じ。

はぁ? だと、どこがどうでどう思ったのか、全くわからないのは私だけ?

まあ、ちょっと抽象的だと私も思いました。

とくに、メール記事だけ読むと、「対岸の火事だと思っているかもしれない」
というくくりで終わりますが、今回の問題点は整理すると、

(1) CodeRed という IIS に感染するワームがある
(2) むやみやたらにネットワーク接続をしそれが攻撃にもなっている
(3) QPQ や YAMAHA ルータ, NTT ME のルータ等、Mac にも影響がある
(4) 対策方法が用意されているので、Mac ユーザも対策をとる必要がある

という 4 つの大きな伝えるべき項目があるはずですね。

MacWire の記事だと (1) しか、わからない。
(3) はにおわせてある程度。

また、情報源はたくさんあるのに、たとえば、このページを含めて、
表面的な対処方法に対してのリンクのみしか掲載されていないので、
「現時点での対策」を講じればそれで OK と勘違いしやすい。
# 隅から隅まで読み尽くしているわけではないですけど。
流し読みした程度です。

極端な話、IIS にしか感染しないとしても、apache などに攻撃を
仕掛けるように改造された変種がでてくる可能性もありますし、
default.ida にだけフィルタする現状のパッチでは不十分になる
可能性がありますが、
そもそもそういうことに踏み込んだ記事になっているとよかったのではと
思っています。

結局、新居さんご自身もめたりっくのルータが落ちる問題で
被害に遭われていると思いますけど、サーバ運営者だけでなくて、
一般のユーザでも常時接続をしているとルータが問題を引き起こす、
ということをもっと強調し、注意を喚起することが大切だと思いました。

ちょっと、偉そうなこと言いましたが、今後の執筆活動のお役に立てば幸いです。

井上 さんからのコメント
( Friday, August 10, 2001 12:22:08 )

実は、ダイヤルアップクライアントからの攻撃もログに多数残っています。Win2000を使う端末ならば
常時接続でなくとも、感染してサーバーアタックしてきます。何気なくネットサーフィンしただけで
正常に動いていそうに見える、感染済のサーバーにアクセスしただけで感染する模様です。

ちなみにルーターは、1つばかりファームウエアを破壊されました。
しかしNatに使うだけしかやっていなかったので、それ以外ほとんど被害はありません。
現在、急激にJPサイトからのアタックが減ってきています。韓国、台湾から数分ごとにまで減りました。

おそらく目的は踏み台のサーバーを作ることではないかとおもわれますが、いかがでしょうか。
詳しい情報は乏しく、何にもないのと同じように思えます。結局自分で対処するしかないという話でしょうね
今度のヤマハのRT54iルーターに期待しようかなと思いますが、どうでしょうか
ダイナミックフィルタなるものとか、ポートスキャンも防御できるみたいで、かなり強力な機能がついているように
思います。

サンタブラック さんからのコメント
( Friday, August 10, 2001 14:40:40 )

>ちなみにルーターは、1つばかりファームウエアを破壊されました。

不正アクセスくらいでファームウェアまで破壊されるルーターって、
どこの製品ですか? 買う時に参考にしたいので、ぜひ教えて下さい。

竹内 さんからのコメント
( Friday, August 10, 2001 15:05:23 )

> Win2000を使う端末ならば常時接続でなくとも、感染してサーバーアタックしてきます。

そうですね。ダイアルアップユーザであっても、感染には十分気をつける必要があると思います。

> 何気なくネットサーフィンしただけで正常に動いていそうに見える、
> 感染済のサーバーにアクセスしただけで感染する模様です。

感染済みのサーバに、Win2000のマシンからブラウザでアクセスすると
ブラウザ越しに感染してしまうということですか?
そんなことはないと思いますよ。
このスレッドでも情報源がたくさん紹介されていますので、参照してみてください。

前後しますが、

> ほんとは、こういうのはリバースエンジニアリングしてどういう仕掛けなの
> か、調べるのが順当な手段でしょう。
> だれもやっていないんですねこれが、私もいそがしいのでなかなかそこまでは
> 出来ないですが、、

これももちろん行われています。
だから対処方法があちこちで紹介されているということかと。

別の井上 さんからのコメント
( Friday, August 10, 2001 15:08:04 )

別のスレッドでも、しつこいぐらいに情報が上がってますから、新しい情報はともかく、感想程度の垂れ流し的行為は配慮していただけたらと思います。
本掲示板には、全部のスレッドを読むために「未読チェック」とか「メール配信」とかいろいろな工夫が装備されてます。

Code Red関連は、「セキュリティホール memo」<http://www.st.ryukoku.ac.jp/~kjm/security/memo/>などをご覧になってはいかがでしょうか。新鮮な情報へのポインターなど頻繁に更新されてます。

井上 さんからのコメント
( Friday, August 10, 2001 15:29:47 )

>感染済みのサーバに、Win2000のマシンからブラウザでアクセスすると
>ブラウザ越しに感染してしまうということですか?
>そんなことはないと思いますよ。
>このスレッドでも情報源がたくさん紹介されていますので、参照してみてください。
条件がそろえば感染します。確認済の情報です。
またま、テスト的に IIS を起動しているマシンが同時にダイアルアップ接続に使われていれば、ダイアルアップ接続後、
数分間でアタックを受け、感染し、そこから更に攻撃が開始されるということも十分あり得ます。
実際、ダイヤルアップのIPからのサーバーアタックが、相当多数ログに残されています。
#引用の2〜3行目は混乱、感想程度の垂れ流しでしょう。

井上 さんからのコメント
( Friday, August 10, 2001 15:49:49 )

対処方法は、マシンやサイトの構成で微妙に異なる場合があるので、実際のリバースエンジニヤリングした上での実験結果で見極めたいというのが本音です。
しかしながら対処方法はあってもどこにも見当たらないです。
ワームのビへビアを観察して対処方法を画策しているものばかりしかお目にかかれません。
どこにそういう情報があるのでしょう???対処方法はあっても技術的解析はどこにも見当たりません。
もちろん探し方がまずいのかもしれません。
まああまり技術的解析が公表されてまねをする馬鹿が出てきても困りますが、、

>不正アクセスくらいでファームウェアまで破壊されるルーターって、
>どこの製品ですか? 買う時に参考にしたいので、ぜひ教えて下さい。
もう当の昔に生産終了して、それを買うことは出来ません、(そういうのだからやめたのかも?)
ここで、公表するのはかわいそうです。毎秒3回とかの頻度で、丸3日間やられたら、そりゃ2万円しなかったんだし、、

たまちゃん さんからのコメント
( Friday, August 10, 2001 16:25:43 )

下のような文書はあります。

→  CodeRedII Worm Analysis



竹内 さんからのコメント
( Friday, August 10, 2001 16:39:12 )

うわあ、しまった...。(笑)

> > 感染済みのサーバに、Win2000のマシンからブラウザでアクセスすると
> > ブラウザ越しに感染してしまうということですか?
> > そんなことはないと思いますよ。
> > このスレッドでも情報源がたくさん紹介されていますので、参照してみてく
> だ
> > さい。
> 条件がそろえば感染します。確認済の情報です。

上記の「確認済み」というのは、以下の状況のハナシですか?

> またま、テスト的に IIS を起動しているマシンが同時にダイアルアップ接続に使われていれば、ダイアルアップ接続後、
> 数分間でアタックを受け、感染し、そこから更に攻撃が開始されるということも十分あり得ます。

もちろんそうなのですが、Code Redがそのマシンを攻撃してくるのは
「ブラウザでどこかにアクセスしたから」というのは関係ありません。
誤解を生む恐れがあると思いましたので、確認させてもらったのですが...。

> #引用の2〜3行目は混乱、感想程度の垂れ流しでしょう。

???

> どこにそういう情報があるのでしょう???対処方法はあっても技術的解析はどこにも見当たりません。

↓ここなどはいかがですか?
http://www.unixwiz.net/techtips/CodeRedII.html

田中求之 さんからのコメント
( Friday, August 10, 2001 16:51:40 )

とりあえず、QPQ ユーザーを対象とした Code Red 対策をまとめたページを
作って、この会議室のトップページからリンクしておきました。

→  Code Red (II) ワームによる Quid Pro Quo の異常終了について

井上 さんからのコメント
( Friday, August 10, 2001 17:08:18 )

>誤解を生む恐れがあると思いましたので、確認させてもらったのですが...。
確認の方法がマズイでしょうね、人間性を疑います。ログにppp接続からのアタックが多数見当たるので
確認してから、投稿しています。

たまちゃんさんありがとうございました。

> http://www.unixwiz.net/techtips/CodeRedII.html
これも、参考になります。ただし核心部分は伏せてあるみたいですね。
にたもの作られたらたまらないからでしょう。

竹内 さんからのコメント
( Friday, August 10, 2001 18:02:30 )

どうも人間性を疑われているようなので、あまり出てきたくはないのですが...。(笑)

やはり誤解がお有りのようなので、もう少しだけ。
わたしの文章が悪くて、なかなかご理解いただけないようですが、

> ログにppp接続からのアタックが多数見当たるので
> 確認してから、投稿しています。

このこと自体は、ブラウザのアクセスによってCode Redに感染していることを意味しません。
ppp接続であれ、常時接続であれ、インターネットに接続してIPアドレスを割り当てられれば
Code Red Wormの攻撃を「受動的に」受けます。

> 何気なくネットサーフィンしただけで
> 正常に動いていそうに見える、感染済のサーバーにアクセスしただけで感染する模様です。

上記の井上さんの文章からは、感染サーバにブラウザからリクエストを送るだけで
感染するようにわたしには読めました。
わたしの認識ではそうではないと思いますので、そのように申しあげているのですが...。

もちろん、わたしの認識に誤りがあれば、ぜひご指摘ください。
こちらの会議室は不特定多数の方が閲覧される場所ですので、
誤った情報を垂れ流しては、混乱を招くだけですので。

ていうか さんからのコメント
( Friday, August 10, 2001 18:23:22 )

そんなドキュソ相手にいちいち説明してやる必要無いと思われ。 <竹内氏

井上 さんからのコメント
( Friday, August 10, 2001 18:37:37 )

>上記の井上さんの文章からは、感染サーバにブラウザからリクエストを送るだけで
>感染するようにわたしには読めました。

そう読めて、なにか不都合がありますか?サーバーを使っていないユーザー、特にメールとネットサーフィンしかしていないから
というユーザーは非常に多いではずです。たとえばそういうユーザーに竹内さんのように「Code Red Wormの攻撃を「受動的に」受けます。」などといってなにか役に立つのですか???むしろじぶんはそういうソフトを使っていないから、対岸の火事などと
おもうユーザーはかなりの数いると思いますよ。

文章に多少、説明不足がある点はみとめますが、サーバーでなくとも、すでに十分感染済のクライアントがいるということです。
それをふまえて、ユーザーがわからみれば、自分はサーバーを公開していないから、感染しないと思い込む危険を指摘したい
のです。そしてついうっかりの設定でユーザーはネットサーフィンしているだけだからというつもりで、回線が重たいだけ
等とたかをくくらぬよう注意してもらいたいということです。

竹内さんの確認のしかたのまずさは、まず、自分が誤った情報をといいながらも正しい情報はこういう場合といえばすむだけの
あるいは、この点が説明不足ではないかといえばすむだけのものを、それは違うと、まあどれほどお偉いかたかは存じ上げませんが
礼儀をわきまえていないということです。

説明が不足していれば、それをおぎなえばそれでいいはずなんですが、どうも竹内さんは自分の自己主張の方に、、
何かこの掲示板で、ご自分が監督でもしているような(笑)(笑)(笑)(笑)(笑)

混乱のもとは

> > ブラウザ越しに感染してしまうということですか?
> > そんなことはないと思いますよ。

これです。一般ユーザーはPC内部での動きなど考えず。いつものように使うだけですから。

やめなさい さんからのコメント
( Friday, August 10, 2001 18:57:38 )

井上氏と竹内氏。
読んでいる人間にはどちらが正しいか既に分かっています。
これ以上ログを流すのはやめましょう。

あゆみ さんからのコメント
( Friday, August 10, 2001 19:21:27 )

知人から聞いた話ですが,届いたばかりのWindows2000のマシンを
初期不良がないか動作確認のためにネットに接続していたら,
2時間もしないうちにCodeRedにやられてしまったそうです.
笑えない話ですね.

これからMacintoshもMac OS Xに移行していきますので,OSに
詳しくないユーザが同じような憂き目に遭うことになりそうですね.
#Appleも他山の石として活かしてもらいたいものですね.