このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

Nimda

発言者:今井真人
( Date Wednesday, September 19, 2001 14:17:48 )


「Nimda」と呼ばれるウイルスにより、ウェブサーバが攻撃されるという被害が出ています。

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20010919/5/


今井真人 さんからのコメント
( Wednesday, September 19, 2001 14:35:17 )

クラックされたウェブサイトにアクセスすると、readme.emlという
ファイルをクライアントに強制的にダウンロードさせてREADME.EXE
を実行するような仕組みになっていると思います。

readme.emlファイルの中身
>MIME-Version: 1.0
>Content-Type: multipart/related;
>>type="multipart/alternative";
>>boundary="====_ABC1234567890DEF_===="
>X-Priority: 3
>X-MSMail-Priority: Normal
>X-Unsent: 1
>
>--====_ABC1234567890DEF_====
>Content-Type: multipart/alternative;
>>boundary="====_ABC0987654321DEF_===="
>
>--====_ABC0987654321DEF_====
>Content-Type: text/html;
>>charset="iso-8859-1"
>Content-Transfer-Encoding: quoted-printable
>
>
><HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
><iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
></iframe></BODY></HTML>
>--====_ABC0987654321DEF_====--
>
>--====_ABC1234567890DEF_====
>Content-Type: audio/x-wav;
>>name="readme.exe"
>Content-Transfer-Encoding: base64
>C

石津@RJC さんからのコメント
( Wednesday, September 19, 2001 16:27:36 )

かなり大事になってますね。
18日朝に初めて確認されて19日の時点でこれほど拡散しているとは...
先日50000件の感染リストを持ったワームは15分で世界を席巻する
というような調査がありましたが、地でいってますね。

うちのサーバにもガンガンアクセスきてますが、今のところ被害は
ありません。社内端末は即時IE使用禁止して、ウイルスパターンの
ファイルを更新させています。F-secureは既に対応しており、試験
感染されたところ問題なく対処できました。

しかし、本当にこわいのはこのNimdaとMagistr.Bが組み合わさった
ような「全部入り」が出てくることですね。
もはや時間の問題でしょうが....

しあわせのツボ さんからのコメント
( Wednesday, September 19, 2001 16:50:54 )

1時間1IPあたり、およそ150アクセス。
もはや手作業のログ解析が追いつきません。
Code Red 2に比べ量が50%アップ(当社比)、
よく「落ちる」新型「アタック」!
…なんて洒落ている場合ではないのですが。

以前Code Redに感染し、今回も食らっている所も
いくつか見受けられますね。
甘い所は何度でもやられる、ということでしょう。

石津@RJC さんからのコメント
( Wednesday, September 19, 2001 17:13:27 )

MacOSX10.04のIE5.1b1で感染サイトにアクセスするとreadme.emlが
自動でダウンロードされちゃいますね。(--;)
もっともウインドウが新しく開いてソースを表示するだけですが...

うーん、応用されるとマズイよーな(--;;;;;;;

今井真人 さんからのコメント
( Wednesday, September 19, 2001 20:14:24 )

Nimdaが原因と思われるウイルス添付メールをEIMSの設定で防御したものの、少し凝った
発信元になっています。mail.mydomain.comは私のところのメールサーバ名です。

from欄が自分のドメイン名だと中継するようなメールサーバだと危ないかも知れません。

>2001年 9月 18日 (火) 23:10:59 +0900   Blocked EXE attachment named readme.exe 
>from doboku@yoshidajima.mail.mydomain.com at LIBRAGE (1XX.XX.XX.222)

今井真人 さんからのコメント
( Wednesday, September 19, 2001 21:25:42 )

「Nimda」ウイルス出現,メール本文のプレビューやWebページ閲覧だけで被害も
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010919/1/



→  「Nimda」ウイルス出現,メール本文のプレビューやWebページ閲覧だけで被害も

noriyuki さんからのコメント
( Wednesday, September 19, 2001 21:26:13 )

Code Redの場合はアタックが続いてもMacには感染しないようでしたが、
今度のNimda?ですか、これはどうなんでしょうか。

今井真人 さんからのコメント
( Wednesday, September 19, 2001 21:46:00 )

>MacOSX10.04のIE5.1b1で感染サイトにアクセスするとreadme.emlが
>自動でダウンロードされちゃいますね。(--;)

MacOS 9+iCabでも自動でダウンロードします。その後、メモリがおかし
くなるのか、一旦QuitしないとiCabが使えなくなります。

今井真人 さんからのコメント
( Wednesday, September 19, 2001 21:48:09 )

> Code Redの場合はアタックが続いてもMacには感染しないようでした

感染ファイルREADME.EXEはWindowsの実行ファイルです。マックはEXEファ
イルを実行できないので感染しません。

noriyuki さんからのコメント
( Wednesday, September 19, 2001 22:13:00 )

昨晩11時頃から感染していたらしいMSNのサイトでも対処したらしく、
「新種のワームについて」というのが載ってました。



→  「新種のワームについて」

noriyuki さんからのコメント
( Wednesday, September 19, 2001 22:15:39 )

今井さま、有り難うございました。ちょっと安心しました。
readme.exe,readme.eml,それと私のサーバーに押し寄せている
cmd.exe,root.exe,ともにファイルは存在してなかったです。

いとうみき さんからのコメント
( Thursday, September 20, 2001 10:53:58 )

みなさん、どもです

通信回線がOCNエコノミーなので、こういう集中砲火的ワームアタックがあると非常に困るので
すが。
QPQ2.1に使用サイズ40MBを割り当てましたが、Status:Maximumが460を越えたあたりでメモ
リ不足のエラーが表示され、最終的にサーバーを停止せざるを得ませんでした。ASIP側も、こ
れが原因なのか、たまに止まることがあります。もっとも、こちらは調子が悪いこともあるた
め、近々メンテナンスの予定でしたが。IPアドレスの解析は手動では不可能な状態で、現在も毎
分10アタックくらいが押し寄せています。このNimdaにくらべると、CodeRedのアタックは可愛
いものでしたねぇ。

《書き込みにコメント付け隊》
   いとうみきでした

おがさわら@東京工科大学 さんからのコメント
( Thursday, September 20, 2001 13:06:24 )

>MacOS 9+iCabでも自動でダウンロードします。その後、メモリがおかし
>くなるのか、一旦QuitしないとiCabが使えなくなります。

もちろん、というか当然というべきか、Mac OS 9+IE5でも自動ダウンロード
を開始します(ウィンドウに表示される)。

このプログラムはXXXXXをアクセスするためのプロトコルをサポートしていません

というアラートが出ますね。

たまちゃん さんからのコメント
( Thursday, September 20, 2001 21:28:14 )

MacInTouch に紹介されていたので調べましたが,IPNetSentry を
使って Code Red や Nimda のアタックを防ぐことができるようで
すね。

Code Red の場合は payload inspection type trigger で

#set\payload_inspection\tcp\80\off\11\default.ida\Code Red Worm\

と設定する方法が紹介されています。default.ida のところを
Nimda によるリクエストに替える訳ですね(offset も対応する
長さに替えて)。

ちなみに IPNetSentry は余り紹介されていませんが,かなり強力
です。NetBarrier みたいに誤検知や検知し忘れ(?)ということ
は私の使った範囲ではありません。

→  IPNetSentry 

広瀬@明治大学 さんからのコメント
( Friday, September 21, 2001 11:22:47 )

外部に迷惑をかけてしまうとまずいので、大学内にNimdaに感染した
PCが無いか調べるために、昨日から色々と試しているんですが、
これといった方法が見付かりません。台数も多いし、そもそも各部署や
各研究室などのコンピュータは私の管理下にあるわけではないので、
1台1台しらみつぶしに調査できませんし。

一応、自分が管理しているWebサーバのログを見る限りでは、学内から
Nimdaによると思われるアクセスはないようなのですが、これをもって
感染したマシンが無いとは言い切れないと思います。

うちの大学では、ほとんどのコンピュータはProxyサーバを経由しないと
外部のサーバにアクセス出来ないようになっているので、NimdaがPCの
Proxy設定まで読んでそれを利用するようにでもなっていない限り、
感染したPCが外部に直接アタックをかけるということは無さそうです。
(NimdaがProxy設定を利用するかどうかについては、色々Web上の情報を
調べたのですが明確に書いてあるページが見付かりませんでした)。

一方、メールですが、Nimdaは外部にメールを出す時には、From:アドレス
としてPCの使用者では無くアドレス帳に載っているものを利用するとのこと。
うちの大学では、From:アドレスが@.*.meiji.ac.jpで無いものは外部へ
送出しないようになっているので、もしアドレス帳にある外部の人の
メールアドレスを利用してNimdaがメールを出そうとしていればエラーログ
に残る筈なんですが、ここ数日のログを見る限り、そういったエラーは
見付かっていません。

他にうまいチェック方法とか考えられるでしょうか?

さんからのコメント
( Friday, September 21, 2001 13:24:23 )

ほかならぬ、今回の脆弱性を利用して
nai.com で拾える感染確認&駆除ツールを
自動実行させることができます。
メールを流して、学内の検証用HTMLを
見てもらえれば良いわけで。

おすすめ駆除ツール(ダウンロード後使うDOSバージョン)
http://www.nai.com/japan/nimdatool.asp

この会議室で発表すると悪用されかねないほど
簡単に仕組みを作れてしまいます。試してみました。

そのほか、オンラインで
感染しているかどうかだけチェックしてくれる
ところもあります。各種ウイルス対策ソフトの
ページを見てください。

▲▲いずれにせよ、学内の人々の
協力がないと出来ませんね。--人海戦術

さんからのコメント
( Friday, September 21, 2001 13:28:09 )

悪用というのは、この会議室にお集まりの
善意の皆様のことではありません。
万が一にも、へんな人にツールを渡したくないだけです。

おいちゃん さんからのコメント
( Friday, September 21, 2001 13:47:51 )

IPNetSentry1.2をサーバー専用マックで試用してみようと
他のマックに置いたインストーラーからインストールしてみました。
サーバーマックにはブラウザも入れて無いので。

結果、失敗。 機能拡張が入らず。
インストーラーを置いたマックに機能拡張と初期設定が残ってしまい
インストーラーでも削除できません。

ご報告まで。

田中求之 さんからのコメント
( Friday, September 21, 2001 15:33:24 )

Nimad に関するレポートが出てます。英文ですが、かなり詳しく書かれていて
参考になると思います。

→  010919-Analysis-Nimda.pdf (SecurityFoucus)

さんからのコメント
( Friday, September 21, 2001 17:17:56 )

「発生から6時間で衰え始めた」とか・・
まだ油断はできませんが
 
 

→  衰えるのも速かった『Nimda』ワーム 

しあわせのツボ さんからのコメント
( Friday, September 21, 2001 19:11:28 )

でも実際、目に見えて減りましたね。
既にピークの1/3程度。
Nimda前のCode Redより減ってます。
# つまりNimdaがCode Redを殲滅した…?

のうの さんからのコメント
( Friday, September 21, 2001 22:43:05 )

うちのログを見てみるとそこまで減っているような感じはしません。
ほぼ横ばいという感じがします。

周りを見ていると繋がないでいることが対処だって思う人が多いような気がします。
パッチを当てるとか既に感染の有無への意識が低いです。

個人ユーザの感染により暫くはCodeRed同様引きずるでしょうね。

今井真人 さんからのコメント
( Saturday, September 22, 2001 09:25:21 )

>目に見えて減りましたね。
>既にピークの1/3程度。
>Nimda前のCode Redより減ってます。

法人がまとめてインターネット接続を停止しているので、一時的な
ものだと思います。メールを対象にしたサーカムより、ウエブを対象
にしたNimdaが流行るのは当然のように思います。

私も対策でメンバー4名で200台のPCをしらみつぶしにやってます。
あ〜くたびれました。

今井真人 さんからのコメント
( Saturday, September 22, 2001 09:44:40 )

ウイルス対抗ソフト+WindowsのIEをバージョンアップしてから、感染サイト
にアクセスすると、感染注意ダイアログがでます。駆除ボタンを押します。

しかし、IEのキャッシュの中にはReadme.exeが残っている状態になります。
Readme.exeが実行されないだけで、ファイル自体はキャッシュファイルにその
まま残ります。

これは ウイルス対抗ソフトで全ファイルスキャンしないと無くならないです。
もくしくは電源オンのときの一括スキャンで見つかるかも知れません。

ウイルスがあるんだけど、実行はされてないという状況が多発して、すべてを
調べ直す状態になります。

これら症状の切り分けをしないとダメなので、対策チームのスキルが高くない
とどれから手を付けてよいかわからない状態にすぐなってしまいます。

このあたりが対策チームを消耗させます。

今井真人 さんからのコメント
( Saturday, September 22, 2001 09:58:51 )

Windowsユーザを見ていると、LAN上で共有フォルダを作って他人に書かせ
たり、読ませたりしているユーザがいっぱいいます。

マックでいうとゲストファイルアクセスを常時開放しているようなもので、
危ない?状態です。Windowsでファイル共有をする場合、この方法が一番
簡単なのでこの方法は多用されます。

NimdaやSircamウイルスはここを悪用するわけです。

Windowsのファイル共有はユーザ名がなくパスワードだけで接続できるので
ユーザが特定できないという問題やら、Windowsがパスワードを覚えてしま
い、次からパスワードなど何も入れなくても接続できるところなど、拍車を
かけます。

前薗 健一 さんからのコメント
( Saturday, September 22, 2001 16:57:26 )

to: 鯖 さん

自宅の Router のログを見るかぎりでは減っていますね。
一昨日位までは 1 時間でログのバッファーが溢れていましたから。> RTA50i
これは port 80 に対するアクセスです。うちは閉じています。

氷雨 さんからのコメント
( Saturday, September 22, 2001 18:19:43 )

NimdaのエラーでApacheのログが埋め尽くされるのがいやなので、
Nimdaからのアクセスはログに記録しないようにする方法とかないんでしょうか?
エラーに埋もれて必要な情報を見落としてしまうことが非常に怖いです。

今井真人 さんからのコメント
( Saturday, September 22, 2001 19:21:08 )

>NimdaのエラーでApacheのログが埋め尽くされるのがいや

cat /var/log/apache/error.log | grep -v "winnt" | more
などのようにgrepで除外して見ればいいのでは。


広瀬@明治大学 さんからのコメント
( Saturday, September 22, 2001 23:53:22 )

田中先生、参考資料の紹介ありがとうございました。

紹介していただいたPDFファイルに目を通し、だいぶNimbdaの動きに
ついてすっきりと理解することが出来ました。

それにしても、こういったしっかりした資料と比べるにつけ、大手の
ニュースサイト(それもコンピュータ関連の!)での記事にも、
もう少ししっかりしてもらいたいと思いました。緊急のことで
慌てていたのでしょうが、重要な部分が抜けていたり、間違っていたり
する記事も見かけられますね。

勿論、一般の新聞記事やテレビニュースなどは更にひどい状態で、
うちの母親などはMacなどWindows以外のマシンには感染しない事すら
知りませんでした(^^;。実際、ニュースなどでは

・MicrosoftのOS
・必要なパッチをきちんと当てていない

この両者を満たすパソコンにしか感染しないことをしっかり書いてあった
ものはあまり見かけないですね。

今井真人 さんからのコメント
( Sunday, September 23, 2001 01:20:30 )

>010919-Analysis-Nimda.pdf (SecurityFoucus)

Nimdaの使用するポートが書かれていて参考になりました。

TCP 137-139, 445: NetBIOS File Shares.
TCP 80: HyperText Transfer Protocol. 
TCP 25 SMTP: This port is used to send email
UDP 69 TFTP: This port is used to transfer the worm

今井真人 さんからのコメント
( Sunday, September 23, 2001 01:23:52 )

自宅のISDN回線で、自宅のページを外部公開してましたが、Nimda
のせいで回線速度があまりに遅いので80番ポートの公開をやめてし
まいました。その途端、ネットが快適になりやっぱりなという感じ
です。

今井真人 さんからのコメント
( Sunday, September 23, 2001 01:51:20 )

たまちゃん>IPNetSentry は余り紹介されていませんが,かなり強力です。

ちょっと調べてみました。

IPNetSentry Release Notes
http://www.Sustworks.com/site/prod_ipns_relnotes.html

なるほどCodeRedの妙なアクセスもちゃんとフィルタできるのであれば、
Nimdaもそのうち対応しそうですね。

問題といえば、自宅のサーバが68kマックだってことです。PowerPC
しか動かないか。ちょっと困ったな。

→  IPNetSentry Release Notes


たまちゃん さんからのコメント
( Sunday, September 23, 2001 11:47:13 )

今井さん:

>Nimdaもそのうち対応しそうですね。

すでに(?)対応していますよ。

scripts/root.exe?

などを trigger にすればいいと思います。

ペヤング さんからのコメント
( Sunday, September 23, 2001 12:38:55 )

はじめまして。

> NimdaのエラーでApacheのログが埋め尽くされるのがいやなので、

下記のとこでCodRed, Nimda関連のログを
別ファイルにとる方法がかかれています。

とっても便利です。

> Nimdaからのアクセスはログに記録しないようにする方法とかないんでしょうか?

であれば、振り分けた出力先を/dev/nullにしちゃえばいいのかな?


→  スラッシュドット ジャパン

今井真人 さんからのコメント
( Monday, September 24, 2001 00:53:21 )

たまちゃん>すでに(?)対応していますよ。

sustworks.comにNimda対策を問い合わせて返事を貰いました。
初期設定フォルダのIPNetSentry Configファイルに以下の行を
書き足しました。

#set\payload_inspection\tcp\80\off\11\root.exe\Nimda\none
#set\payload_inspection\tcp\80\off\11\scripts\Nimda\none

これを書いてマックを再起動。次から次へとAged Filtersに接続禁止IPが
続々と増えてます。自分で試しに、root.exeのアクセスをするとアクセス
禁止になってしまうので、面白いです。Aged Filtersを表示して削除すれ
ばいいんですけどね。

今井真人 さんからのコメント
( Monday, September 24, 2001 01:06:14 )

IPNetSentry - Latest Bulletin
http://www.sustworks.com/site/prod_ipns_latest.html

に詳しくまとまっています。

→  IPNetSentry - Latest Bulletin


おいちゃん さんからのコメント
( Tuesday, October 09, 2001 17:31:09 )

以前、IPNetSentry1.2の「read me」を読み間違い、
>インストーラーを置いたマックに機能拡張と初期設定が残ってしまい
>インストーラーでも削除できません。
と書いて恥をさらしましたが、
現在は、IPNetSentry_121c5を購入し7200/90で働いてもらっています。

「IMPORTANT: Performed a major rewrite of how IPNetSentry handles the payload inspection function. 」
のコメントと共に IPNetSentry_130c1がリリースされていたので、
早速アップグレードしました。
途端にサーバーのページへアクセスすることができなくなり、
アンインストールしたところ、タイミング良く(?)「Code Red」と「Nimda」の嵐。
アクセスログがだーっと埋め尽くされ、「IPNetSentry」の威力を再確認しました。

「IPNetSentry_121c5」に戻し、
「Code Red」と「Nimda」の6箇所に「\3600\1」を追加してみた今は
無事に働いています。
また読み間違いかも知れませんが、他の使用されている方はいかがでしょう。

今井真人 さんからのコメント
( Tuesday, October 09, 2001 17:47:39 )

IPNetSentry のデフォルト設定だとNimdaの感染を発見後、2時間経ったら
忘れるという設定になっていて気に入らないです。

IPNetSentry Configの設定を
#set\default_filter_time\7200

から、10日間ぐらいに引き上げた方がいいですね。
#set\default_filter_time\ 864000



今井真人 さんからのコメント
( Tuesday, October 09, 2001 20:57:50 )

>10日間ぐらいに引き上げた方がいいですね。
>#set\default_filter_time\864000

1日運営しただけで、60のIPがNimdaアクセスで禁止になってました。

たまちゃん さんからのコメント
( Sunday, October 14, 2001 18:41:53 )

ふと疑問に思い調べましたが 68K Macintosh や 7.x の古いシステ
ムが稼働している Macintosh でウイルスに対抗するにはどのように
したらいいのでしょうか(Macintosh 用のウイルスは少ないという
事実は横に置いて)。しかも定義ファイルの更新ができるというこ
とが条件です。

主要なベンダーの製品を見ましたが,Mac OS 7.6 以上や要PPC で
あったりします(多くは 8.0 以上)。

実際に運用されたり何か情報をお持ちの方は教えていただけると
助かります。

# Mac OS X 10.1 には Sophos のベータ版が対応済みです。

おいちゃん さんからのコメント
( Monday, October 15, 2001 11:01:24 )

本で見ただけで、触ったこともないのですが、
「ウイルススキャン for Macintosh Virex 6.1」
(元ウイルススキャン、鉄壁 ウイルススキャン)
は、68LC040以降です。OS は7.6以降だそうですが。
ウイルス定義ファイルも Norton AntiVirus と同じく
月一配布。ただし、FTPプロトコルにしか対応していないそうですが、
AppleShare経由でアップデートできるようです。??

→  http://www.sourcenuxt.com/

おいちゃん さんからのコメント
( Monday, October 15, 2001 11:04:41 )

ごめんなさい。
http://www.sourcenuxt.com/
は、スペルミスです。(恥
本当は ↓↓ です。

→  http://www.sourcenext.com/

おいちゃん さんからのコメント
( Monday, October 15, 2001 11:09:05 )

何度もすみません。
 ↓↓ の下の方にあります。ここではマック用はこれひとつみたいです。

→  http://www.sourcenext.com/products/products/seihin_2.html