猛威を振るう Code Red Worm、あなたのマシンも要チェック 34
ストーリー by wakatono
招かれざる客 部門より
招かれざる客 部門より
SecurityFocusをはじめとして、いろんなところでCode Red Worm の猛威について書かれているが、同サイトにて同ワームに感染しているホストのアドレスリストの所在が常時接続の宴MLにて報告されている。リストの実体を見ると、日本のホストも相応に含まれているように見える。また、追加報告されたマージリストを見ると、1万5千近くのホスト(IPアドレス)が掲載されている…あなたのホストも要チェック。
余談ですが、オレのところにも28匹ほど来た形跡が残ってました。蟲には気をつけましょう…つぅか来るな…
Re:辞めててよかった (スコア:2, すばらしい洞察)
IISは悪人じゃない。管理もちゃんとすればできる。でも、その手間が比較的大変だから、できればご遠慮したい。
これが本音。
で、これを見透かしたように、某保険会社もIISとかだと保険料が上がる、って言ってたじゃない。
「管理できない」なんて言うやつは、管理するなよ。それでもプロかよ!
という言い方は、要するに「ヘタったエンジン搭載したクルマでも、レースに勝てなきゃプロじゃない」と言っているようなものですね。
あるいは、刺身包丁で肉や骨が切れなきゃ、一人前として認めない!なんていうレストランオーナと同じかな?
ほんと、/.に集う人はイジワルなんだから。;-)。
でも、IIS使ってなくてよかった、というのは、最近のシステム管理者の本音だと思うよ。マジで。
Re:管理自体辞めれば? (スコア:2)
>管理コストに響くからね。
本当のプロは何を入れても管理コストは実は同じだという事を
ちゃんとプレゼンできる。危機管理を平準化したうえで、
目的を遂行する術を考える。
「管理コスト」をかさむのを拒むのではなく、日常的なコストと
非常時のコストの差を小さくするのがプロ。
リスクを説明でき、それに見合った行動を常日頃からとるのが
プロ。自分に慢心しているのはプロ気取りであって、限界を悟るのが
プロです。
ワタシはどれもできないヘタレです(ぉ
-- (ま)
Re:管理自体辞めれば? (スコア:2, 参考になる)
匿名君の深読みしすぎ。
これで、たとえばApacheをターゲットにしたワームがはびこったら、Apacheやめててよかったという奴が確実に現れるにちがいない。
で、反論する奴も出る。世の習いですな。
だいたい、システム管理者がWebサーバを自分で選べる場合って、けっこう少ないと思うよ。
わけわからんコンサルや偉いさんが選んだ製品を一所懸命面倒見ないといけないのが現場の管理者さ。
Re:管理自体辞めれば? (スコア:2)
>ヘタレです(ぉ
の一文でオチつけたつもりなんですが、通じてないようで、ギャグセンスが
低レベルな自分を責めておくことにします。
あれを「プロ」の定義みたいに言われて「んな難しい(あるいははずした)
ことで判断するなー」というのが意図ですが。
>IISを避けることを最初にやるべきでしょうね。
NT+IISが管理コスト低くできる組み合わせだと、信じている人も(最近は
減りましたが)居たわけで、逆にunixで組むと運営コストが高いと言われ
ましたね。で、「何を使っても同じだ」というのはクライアントからの条件
の中で、構築せざるを得ないシチュエーションでは、そう言い切るしかない
です。同じにするための苦労の内訳は違うでしょうが。
もちろん、IISはできれば避けたいという点は同意。
あと、匿名氏の反論(?)ありましたが、あたりまえのことを言われていて、
内容には否定はないんですが。むしろ当たり前すぎて。
実際は精神論と具体的な手段の高いレベルのバランスだとボクは思ってるので、
感情的な語調で書かれていたのが気になります。
ま、匿名さんですから。アリなんでしょう。
-- (ま)
辞めててよかった (スコア:1)
って感じですか・・・・。
--Inquiring with pragma--@MJ
Red Codeだけじゃない (スコア:1)
別に攻撃してくるのは Red Code だけじゃないし。snort仕掛けとくとよくわかるけど、相変わらずBIND方面への攻撃も激しいっす。うちは djbdns やっちゅーねん。
ありきたりだけど、「対岸の火事にあらず」なので警戒怠るべからず。
まぁ、国内ISPのADSLなホストからの攻撃を見ると「何とかしろこの馬鹿」と思ったりもするのだけど。
アクセスログ (スコア:1)
色々な所からバッファオーバーフローをねらったと思われるログが残っていたました。
ログは以下の様な感じ
GET /default.ida?NNNNNNNNNNN---Nがいっぱい--%u9090%・・・・以降エンコードされた(?)文字の様な奴で・・最後が=a
確かIISのIndexサーバのバッファーオーバフローを狙う
ワームだからidaの拡張子はまさにそれって感じですね・・
まぁIISじゃ無いから関係無いけど・・
Re:アクセスログ (スコア:1)
HTTP/1.0
Content-type: text/xml
HOST:www.worm.com
Accept: */*
Content-length: 3569
ac.jp (スコア:1)
いまや大学でもIIS使ってんのね。
Re:管理自体辞めれば? (スコア:1)
残業が多くてもいいのかな?
休暇が取れなくてもいいのかな?
休暇中に呼び出されてもいいのかな?
過労で倒れてもいいのかな?
これらもひっくるめて、TCOっていうんでしょう。
要領よくやるにしても、限界ってものがあるわけですし。
Re:辞めててよかった (スコア:1)
例えば Apache 使ってるまともな管理者が常々 「Apache には最近 buffer overflow が見つかんなくて幸せ」 と感じてはいても、今回の件を見て今更のように 「IIS 使ってなくて良かった」 なんて感想を持つとは思えないねぇ。
Re:辞めててよかった (スコア:1, 参考になる)
2.管理できない人が多い、も事実
3.Apacheは最近buffer overflowがみつからなくてシアワセと思っている、ということも事実。
どれも同じくらいのウエィトかな、と思います。
だから、IIS使ってなくてよかった、と、つくずく思います。
Re:管理自体辞めれば? (スコア:1)
管理コストに響くからね。
管理コストが嵩むのを判っているのを選ぶ方が、管理者として失格。
Re:ac.jp (スコア:1)
しかも、まだ気づかないままのようです。
(ちなみに、うちには15匹来ました。FreeBSD+Apache
だから大丈夫とは思うけど。)
ゆーへん
どう指摘すればいい? (スコア:1)
.comとか.eduならメールで指摘できるものの、海外から来る個人向けDSL・ダイアルアップらしき ところからの攻撃だと自己防衛以外に対処しようのないところが歯がゆいです。そこのISPに連絡すれば いいのかなぁ?どう皆さんは対処されてますか?
Re:辞めててよかった (スコア:1)
すぐにインストールできてサーバとして運用にまわせる。だけどデフォルトでいろんなサービスが立ち上がっちゃってて、後で焦ることもある。どうやって止めたらいいか分からないし、それ止めることで既存のサービスに悪影響出るかもしれないし。そもそも本運用に回ってるサーバ止めたら怒られる。それ自体問題。
パッチがどうのワームがどうのっていえるのは、私からしたらかなりの上級者でなおかつIIS を大切な用途で使わざるを得ない人?かなと思います。インストールもばっちり出来てて、しばらくはパッチなしでも対応できますって宣言できそうな感じの人??
私の能力でしたらそれ以前に、もっと基本的な管理方法を見直す必要がある気がしています。IIS で入った場合、そうした管理に関する知識が得にくいっていうのは、今まで確かにあったような。これは正直痛かった。
「基本的な管理」については、色々なサーバやOS のポリシを見て、自分でも学習するようにしていくしかないのかなって思ったりもしています。どうなんでしょうね。
Re:アクセスログ (スコア:1)
がまた別の標的を探そうとしているのですよね。
ウチとこのログと「アドレスリスト」を比較すると、19件中2件ヒット。
すると、リストに漏れているホストはまだまだ存在する、という事なので
しょうか。
しかし、宝くじ当選番号を調べてるような雰囲気があったな(不謹慎)
始末に悪いワームのようで (スコア:1)
繁殖力はあるし、基本的にはシステムをクラッシュさせないし、休眠するし、とんでもない奴ですね。
こいつは。
ここまで凄いと、本当に対抗用ワームを投入するしかないかもしれません。
また、こいつの亜種が、これからぞろぞろ出てくるとなると、IISの保険料を上げるべきだと思いますね。
Re:ac.jp (スコア:1)
Netcraftと上のIPアドレスリストを使って調べたら
分かるのかな?
でも、日本語版IISは違う動作をするなんてこと
あるんですか!?
ゆーへん
Re:辞めててよかった (スコア:1)
運用にまわす前に、どんなサービスが立ち上がってるか、どんなアクセス制御をかけてあるか(あるいはかけてないか)ぐらいはきちんと把握しておかないと。Apacheだって、デフォルトの設定がけっこう危なかったこともありますし、危険なCGIプログラムがデフォルトで動くようになってたこともあります。とりあえず動かすんじゃなくて、全体をきっちり把握してから動かすんじゃないと、IISじゃなくたって同じことだと思います。
# わたしがIISを使わないのは、その把握にかかる手間があまりにデカく見えるから。
# OSも含めての話かもしれないけどさ。
Re:どう指摘すればいい? (スコア:1)
OCNみたいに、あまりにいっぱい踏台をかかえている(つまりその配下がよく攻撃に来る)場合はISPの管理者とおぼしきアドレスにメールぐらいしますが、基本的には放っておきます。うざいけど、全部に対応している暇はないし。そのISPが持ってるとおぼしきアドレス範囲からのアクセスをごっそり禁止することもありますね。
Re:管理自体辞めれば? (スコア:1)
非常時の発生頻度が上がれば、確実に平均値は大きくなるのでは?
従って、平準化できたところで、管理コストの増加は避けられない。
リスクを説明でき、それに見合った行動を取るのであれば、とりあえず、
IISを避けることを最初にやるべきでしょうね。
それをできない(やらない)ことが、この大騒ぎの原因のひとつだと思う。
Re:辞めててよかった (スコア:1)
「IISだと狙うやつも多いから、管理が大変」
では言葉が足りないと思う。IIS だと local SYSTEM 権限を奪取できるような致命的バグの発見率が高いので、狙われやすく、それなりの対応準備をしておかないとイカン、ということだと思う。patch あてりゃいい、という意味では、rpm 放り込む世界と作業負荷は変わらないと思う。
私は使わないけどね、IIS。
イタイです。 (スコア:1)
でも少し言い訳します。
カスタムインストールですと、一応サービスが選べてそれぞれの説明も見られたような気が(説明が十分かどうか、また作業要員にそれが理解できるかどうかは別として!?)意識したことはあります。
ただ、サービスを絞ろうという意図をもった場合でも「IIS は、XXっていうビジネスアプリ(複雑で多機能っぽい)と連携させるから、その条件で動くようにして。それから期限あしたまでね♪」なんていう条件がついてしまうと、いろいろ厳しいところがありますね。実感的に。
#ほんとにただの言い訳です。
言えることは言うようにし、改善できることは改善できるようしています。まだまだ力及ばずといった場面が多いです。精進せねば。
# 他の方が、「上」が選んだソフトを仕方なく(それでも目いっぱいがんばって)使わざるをえない、っていうのはこういう状況と似てますか??
さっそく亜種が出始めました (スコア:1)
のメッセージを表示しなくなった亜種が、出始めたようです。
それを言っては駄目ですよん (スコア:1)
大真面目にそう思ってしまいますから。
相手が Windows であろうと、UNIXであろうと、仕事した分、しっかり、
銭は取らないとね。(笑)
管理自体辞めれば? (スコア:0)
脆弱性情報をいちいちチェックして対処方法を考えないで済む場合が多いからかい?
んな事本気で思う奴がいたら、管理者として失格だと思うがね。
どんなプロダクト選ぼうが絶対やらかすだろ。心構えはどれでも同じなんだから。
Re:管理自体辞めれば? (スコア:0)
Re:辞めててよかった (スコア:0)
Re:管理自体辞めれば? (スコア:0)
Re:ac.jp (スコア:0)
Re:管理自体辞めれば? (スコア:0)
>ちゃんとプレゼンできる。危機管理を平準化したうえで、
>目的を遂行する術を考える。
「何を入れても管理コストは同じ」にはウソがあるよ。危機管理を平準化する?既知の危機は危機じゃないよ。未知だからこそ、「危機管理」が必要。つまり、平準化できるようなものは危機ではありません。
>「管理コスト」をかさむのを拒むのではなく、日常的なコストと
>非常時のコストの差を小さくするのがプロ。
どのくらい小さくできるか、計量しておくべきだね。この「コストの差を小さくする」のは、文面からは「平時」と「非常時」を比較した場合だよね。管理が前提であるとしたら、わずかでも「差」が生じる。これが「わずか」であるかどうかは誰が、どう、判断するのか?結局同じではないか?どのくらいなら「わずか」と言えるのか?こればかりはケースバイケースでしょ。一般論にできない。
>リスクを説明でき、それに見合った行動を常日頃からとるのが
>プロ。自分に慢心しているのはプロ気取りであって、限界を悟るのが
>プロです。
このまえ、某有名セキュリティ監査会社に監査をお願いしたが、専門家でさえ、監査もれっていうのはあるよ。これだって「リスク」のうち。慢心なんかしているヒマはないよね。「現在を悟る」って、あまりに情緒的表現だね。客観的基準がない。心構え、っていうことだとその通りだが、精神論でシステム管理するんだったら、念力でもウンウンうなってやってれば?
>ワタシはどれもできないヘタレです(ぉ
そういうことか。ここまで、まじめに反論しててバカを見たね。まじめに反論しなければよかった。もっとも、/.なんだから、ヨタでもかまわんが。
Re:始末に悪いワームのようで (スコア:0)
IISは、そろそろパッチのレベルを超えて、「IIS-2」とか作って、全面的に入れ替え、というのも必要かと思います。それが一番の対抗策だね。
ということで、永遠にこれが続くわけです。
まぁ、がんばってちょ。うちはM$でサーバ作らないことでこれに対処しますんで。
Re:ac.jp (スコア:0)
あるでしょう。
過去にもそういう事例がありましたし。
攻撃側がどうプログラミングしたかによりますが。。。