パスワードを忘れた? アカウント作成
Close
602 story

猛威を振るう Code Red Worm、あなたのマシンも要チェック 34

ストーリー by wakatono
招かれざる客 部門より

SecurityFocusをはじめとして、いろんなところでCode Red Worm の猛威について書かれているが、同サイトにて同ワームに感染しているホストのアドレスリストの所在が常時接続の宴MLにて報告されている。リストの実体を見ると、日本のホストも相応に含まれているように見える。また、追加報告されたマージリストを見ると、1万5千近くのホスト(IPアドレス)が掲載されている…あなたのホストも要チェック。

余談ですが、オレのところにも28匹ほど来た形跡が残ってました。蟲には気をつけましょう…つぅか来るな…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

猛威を振るう Code Red Worm、あなたのマシンも要チェック More

  • Re:辞めててよかった (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2001年07月23日 19時45分 (#8935)
    IISそのものを悪人にしているわけじゃないけど、要するに「IISだと狙うやつも多いから、管理が大変」ということだよね。プロだったら、管理の大変/大変じゃない、にかかわらずやらなきゃいけない、というのは、正当な言い方だね。でも、IISと他の環境比べれば、IISのほうが狙われやすい分だけリスクも大きいし、正直なところやりたくない、といってもいいね。

    IISは悪人じゃない。管理もちゃんとすればできる。でも、その手間が比較的大変だから、できればご遠慮したい。

    これが本音。

    で、これを見透かしたように、某保険会社もIISとかだと保険料が上がる、って言ってたじゃない。

    「管理できない」なんて言うやつは、管理するなよ。それでもプロかよ!

    という言い方は、要するに「ヘタったエンジン搭載したクルマでも、レースに勝てなきゃプロじゃない」と言っているようなものですね。

    あるいは、刺身包丁で肉や骨が切れなきゃ、一人前として認めない!なんていうレストランオーナと同じかな?

    ほんと、/.に集う人はイジワルなんだから。;-)。

    でも、IIS使ってなくてよかった、というのは、最近のシステム管理者の本音だと思うよ。マジで。

  • >プロなら手間の少ないのを選ぶのは当然のこと。
    >管理コストに響くからね。

    本当のプロは何を入れても管理コストは実は同じだという事を
    ちゃんとプレゼンできる。危機管理を平準化したうえで、
    目的を遂行する術を考える。

    「管理コスト」をかさむのを拒むのではなく、日常的なコストと
    非常時のコストの差を小さくするのがプロ。

    リスクを説明でき、それに見合った行動を常日頃からとるのが
    プロ。自分に慢心しているのはプロ気取りであって、限界を悟るのが
    プロです。

    ワタシはどれもできないヘタレです(ぉ
    --
    -- (ま)

  • Re:管理自体辞めれば? (スコア:2, 参考になる)

    by gori (3642) on 2001年07月23日 23時10分 (#8983)
    単に、Code Redに犯されないからでしょう。
    匿名君の深読みしすぎ。

    これで、たとえばApacheをターゲットにしたワームがはびこったら、Apacheやめててよかったという奴が確実に現れるにちがいない。
    で、反論する奴も出る。世の習いですな。

    だいたい、システム管理者がWebサーバを自分で選べる場合って、けっこう少ないと思うよ。
    わけわからんコンサルや偉いさんが選んだ製品を一所懸命面倒見ないといけないのが現場の管理者さ。
  • ここにまとめて返信しますが・・

    >ヘタレです(ぉ

    の一文でオチつけたつもりなんですが、通じてないようで、ギャグセンスが
    低レベルな自分を責めておくことにします。
    あれを「プロ」の定義みたいに言われて「んな難しい(あるいははずした)
    ことで判断するなー」というのが意図ですが。

    >IISを避けることを最初にやるべきでしょうね。

    NT+IISが管理コスト低くできる組み合わせだと、信じている人も(最近は
    減りましたが)居たわけで、逆にunixで組むと運営コストが高いと言われ
    ましたね。で、「何を使っても同じだ」というのはクライアントからの条件
    の中で、構築せざるを得ないシチュエーションでは、そう言い切るしかない
    です。同じにするための苦労の内訳は違うでしょうが。
    もちろん、IISはできれば避けたいという点は同意。

    あと、匿名氏の反論(?)ありましたが、あたりまえのことを言われていて、
    内容には否定はないんですが。むしろ当たり前すぎて。

    実際は精神論と具体的な手段の高いレベルのバランスだとボクは思ってるので、
    感情的な語調で書かれていたのが気になります。
    ま、匿名さんですから。アリなんでしょう。
    --
    -- (ま)

  • 辞めててよかった (スコア:1)

    by MJ (791) on 2001年07月23日 18時14分 (#8922) 日記
    「辞めててよかったIIS」

    って感じですか・・・・。
    --
    --Inquiring with pragma--@MJ

  • Red Codeだけじゃない (スコア:1)

    by visha (779) on 2001年07月23日 18時23分 (#8923) 日記

    別に攻撃してくるのは Red Code だけじゃないし。snort仕掛けとくとよくわかるけど、相変わらずBIND方面への攻撃も激しいっす。うちは djbdns やっちゅーねん。

    ありきたりだけど、「対岸の火事にあらず」なので警戒怠るべからず。

    まぁ、国内ISPのADSLなホストからの攻撃を見ると「何とかしろこの馬鹿」と思ったりもするのだけど。

  • アクセスログ (スコア:1)

    by shigezo (2455) on 2001年07月23日 18時33分 (#8925) 日記
    俺の管理しているWWWサーバのアクセスログに20日辺りから11件ほど
    色々な所からバッファオーバーフローをねらったと思われるログが残っていたました。

    ログは以下の様な感じ
    GET /default.ida?NNNNNNNNNNN---Nがいっぱい--%u9090%・・・・以降エンコードされた(?)文字の様な奴で・・最後が=a

    確かIISのIndexサーバのバッファーオーバフローを狙う
    ワームだからidaの拡張子はまさにそれって感じですね・・

    まぁIISじゃ無いから関係無いけど・・

  • Re:アクセスログ (スコア:1)

    by youkan (3208) on 2001年07月23日 19時00分 (#8928) 日記
    デコードしました.

    HTTP/1.0
    Content-type: text/xml
    HOST:www.worm.com
      Accept: */*
    Content-length: 3569

  • ac.jp (スコア:1)

    by tatsushi (87) on 2001年07月23日 19時17分 (#8932) ホームページ 日記
    リストの中に大阪大学や東京大学のIPを発見しました。
    いまや大学でもIIS使ってんのね。
  • 心構えは、ともかく、作業量はどうでしょうか?

    残業が多くてもいいのかな?

    休暇が取れなくてもいいのかな?

    休暇中に呼び出されてもいいのかな?

    過労で倒れてもいいのかな?

    これらもひっくるめて、TCOっていうんでしょう。

    要領よくやるにしても、限界ってものがあるわけですし。

  • Re:辞めててよかった (スコア:1)

    by sandman (4124) on 2001年07月23日 20時41分 (#8950)
    IIS は「狙われやすい」というより、 単に管理出来ない人が多く集まっているだけでしょう。
    例えば Apache 使ってるまともな管理者が常々 「Apache には最近 buffer overflow が見つかんなくて幸せ」 と感じてはいても、今回の件を見て今更のように 「IIS 使ってなくて良かった」 なんて感想を持つとは思えないねぇ。

  • Re:辞めててよかった (スコア:1, 参考になる)

    by Anonymous Coward on 2001年07月23日 20時59分 (#8951)
    1.ねらわれやすい、は事実
    2.管理できない人が多い、も事実
    3.Apacheは最近buffer overflowがみつからなくてシアワセと思っている、ということも事実。

    どれも同じくらいのウエィトかな、と思います。

    だから、IIS使ってなくてよかった、と、つくずく思います。

  • Re:管理自体辞めれば? (スコア:1)

    by zeissmania (3689) on 2001年07月23日 21時24分 (#8955)
    プロなら手間の少ないのを選ぶのは当然のこと。
    管理コストに響くからね。
    管理コストが嵩むのを判っているのを選ぶ方が、管理者として失格。

  • Re:ac.jp (スコア:1)

    by youphen (993) <youphenNO@SPAMgmail.com> on 2001年07月23日 21時38分 (#8960) 日記
    うちの大学のとあるサーバも感染していました・・・。
    しかも、まだ気づかないままのようです。

    (ちなみに、うちには15匹来ました。FreeBSD+Apache
    だから大丈夫とは思うけど。)
    --
    ゆーへん

  • どう指摘すればいい? (スコア:1)

    by norihiro (479) on 2001年07月23日 22時43分 (#8975) 日記
    iptablesでDROPされた怪しいパケットのログをとりはじめたとき、「すぐに知らせてくれると面白いかな」と 思いGNOMEのアプレットにあるTick-a-Statを使い、ログに追加されるとポップアップで知らせるように しました。しかししょっちゅう飛び出してうざいので表示だけに戻してしまいました。

    .comとか.eduならメールで指摘できるものの、海外から来る個人向けDSL・ダイアルアップらしき ところからの攻撃だと自己防衛以外に対処しようのないところが歯がゆいです。そこのISPに連絡すれば いいのかなぁ?どう皆さんは対処されてますか?
  • 自分も IIS は関わったことがあります。
    すぐにインストールできてサーバとして運用にまわせる。だけどデフォルトでいろんなサービスが立ち上がっちゃってて、後で焦ることもある。どうやって止めたらいいか分からないし、それ止めることで既存のサービスに悪影響出るかもしれないし。そもそも本運用に回ってるサーバ止めたら怒られる。それ自体問題。

     パッチがどうのワームがどうのっていえるのは、私からしたらかなりの上級者でなおかつIIS を大切な用途で使わざるを得ない人?かなと思います。インストールもばっちり出来てて、しばらくはパッチなしでも対応できますって宣言できそうな感じの人??

     私の能力でしたらそれ以前に、もっと基本的な管理方法を見直す必要がある気がしています。IIS で入った場合、そうした管理に関する知識が得にくいっていうのは、今まで確かにあったような。これは正直痛かった。

     「基本的な管理」については、色々なサーバやOS のポリシを見て、自分でも学習するようにしていくしかないのかなって思ったりもしています。どうなんでしょうね。

  • Re:アクセスログ (スコア:1)

    by naruaki (2658) on 2001年07月23日 23時56分 (#8998) 日記
    Code Red って、ワームな訳だから、コイツに感染してしまったホスト
    がまた別の標的を探そうとしているのですよね。
    ウチとこのログと「アドレスリスト」を比較すると、19件中2件ヒット。
    すると、リストに漏れているホストはまだまだ存在する、という事なので
    しょうか。

    しかし、宝くじ当選番号を調べてるような雰囲気があったな(不謹慎)
  • ここに記事がありますが、手広くIISをサポートしているし、メモリ常駐型でAPIをトラップして動くし、
    繁殖力はあるし、基本的にはシステムをクラッシュさせないし、休眠するし、とんでもない奴ですね。
    こいつは。

    ここまで凄いと、本当に対抗用ワームを投入するしかないかもしれません。

    また、こいつの亜種が、これからぞろぞろ出てくるとなると、IISの保険料を上げるべきだと思いますね。

  • Re:ac.jp (スコア:1)

    by youphen (993) <youphenNO@SPAMgmail.com> on 2001年07月24日 1時14分 (#9008) 日記
    日本語版なのかどうかは分かりません。
    Netcraftと上のIPアドレスリストを使って調べたら
    分かるのかな?
    でも、日本語版IISは違う動作をするなんてこと
    あるんですか!?
    --
    ゆーへん

  • Re:辞めててよかった (スコア:1)

    by visha (779) on 2001年07月24日 5時18分 (#9052) 日記

    運用にまわす前に、どんなサービスが立ち上がってるか、どんなアクセス制御をかけてあるか(あるいはかけてないか)ぐらいはきちんと把握しておかないと。Apacheだって、デフォルトの設定がけっこう危なかったこともありますし、危険なCGIプログラムがデフォルトで動くようになってたこともあります。とりあえず動かすんじゃなくて、全体をきっちり把握してから動かすんじゃないと、IISじゃなくたって同じことだと思います。

    # わたしがIISを使わないのは、その把握にかかる手間があまりにデカく見えるから。
    # OSも含めての話かもしれないけどさ。

  • Re:どう指摘すればいい? (スコア:1)

    by visha (779) on 2001年07月24日 5時23分 (#9053) 日記

    OCNみたいに、あまりにいっぱい踏台をかかえている(つまりその配下がよく攻撃に来る)場合はISPの管理者とおぼしきアドレスにメールぐらいしますが、基本的には放っておきます。うざいけど、全部に対応している暇はないし。そのISPが持ってるとおぼしきアドレス範囲からのアクセスをごっそり禁止することもありますね。

  • 平常時の管理コストも非常時の管理コストも似たようなものかもしれんが、
    非常時の発生頻度が上がれば、確実に平均値は大きくなるのでは?

    従って、平準化できたところで、管理コストの増加は避けられない。

    リスクを説明でき、それに見合った行動を取るのであれば、とりあえず、
    IISを避けることを最初にやるべきでしょうね。

    それをできない(やらない)ことが、この大騒ぎの原因のひとつだと思う。
  • 管理をきちんとしないとヤラれるのは NT/2000 だろうが Solaris/Linux/*BSD だろうが同じですよね。ありがちな穴が IIS なのか rpc/lpd/ftpd なのか、という違いはあれど。

    「IISだと狙うやつも多いから、管理が大変」

    では言葉が足りないと思う。IIS だと local SYSTEM 権限を奪取できるような致命的バグの発見率が高いので、狙われやすく、それなりの対応準備をしておかないとイカン、ということだと思う。patch あてりゃいい、という意味では、rpm 放り込む世界と作業負荷は変わらないと思う。

    私は使わないけどね、IIS。

  • イタイです。 (スコア:1)

    by BJ (1487) on 2001年07月24日 12時13分 (#9114) ホームページ
    ううっかなりイタイです。
    でも少し言い訳します。

    カスタムインストールですと、一応サービスが選べてそれぞれの説明も見られたような気が(説明が十分かどうか、また作業要員にそれが理解できるかどうかは別として!?)意識したことはあります。

    ただ、サービスを絞ろうという意図をもった場合でも「IIS は、XXっていうビジネスアプリ(複雑で多機能っぽい)と連携させるから、その条件で動くようにして。それから期限あしたまでね♪」なんていう条件がついてしまうと、いろいろ厳しいところがありますね。実感的に。
    #ほんとにただの言い訳です。

     言えることは言うようにし、改善できることは改善できるようしています。まだまだ力及ばずといった場面が多いです。精進せねば。

    # 他の方が、「上」が選んだソフトを仕方なく(それでも目いっぱいがんばって)使わざるをえない、っていうのはこういう状況と似てますか??
  • ・感染対象のIPを広域化して、「Welcome to http://www.worm.com! Hacked by Chinese! 」
    のメッセージを表示しなくなった亜種が、出始めたようです。
  • 「何を使っても同じだ」ってなことをいうと、無知なクライアントは、
    大真面目にそう思ってしまいますから。

    相手が Windows であろうと、UNIXであろうと、仕事した分、しっかり、
    銭は取らないとね。(笑)

  • 管理自体辞めれば? (スコア:0)

    by Anonymous Coward on 2001年07月23日 19時26分 (#8933)
    パッチ当てなくても比較的標的になりづらいからかい?
    脆弱性情報をいちいちチェックして対処方法を考えないで済む場合が多いからかい?

    んな事本気で思う奴がいたら、管理者として失格だと思うがね。
    どんなプロダクト選ぼうが絶対やらかすだろ。心構えはどれでも同じなんだから。

  • Re:管理自体辞めれば? (スコア:0)

    by Anonymous Coward on 2001年07月23日 19時48分 (#8937)
    そりゃ違うだろ。 飛躍し杉だぞ。

  • Re:辞めててよかった (スコア:0)

    by Anonymous Coward on 2001年07月23日 22時19分 (#8969)
    だって IIS ってパッチあてるの大変だもん。 パッチ当てた後で、ちゃんと動く保証も無いし。 パッチ当てる作業、パッチ後のシステムの検証、 こういうことを考えると、apache がずっと楽。 IIS 使ってなくて本当に良かった。

  • Re:管理自体辞めれば? (スコア:0)

    by Anonymous Coward on 2001年07月23日 23時15分 (#8985)
    「何をいれても同じ」ではないでしょう。ははは。

  • Re:ac.jp (スコア:0)

    by Anonymous Coward on 2001年07月23日 23時36分 (#8995)
    >ちの大学のとあるサーバも感染していました・・・。 >しかも、まだ気づかないままのようです。 すいません。感染しているIISというのは日本語IISなんでしょうか? 日本語IISはWEBは書き換えられないけど感染はすると言う情報があるのですが、裏が取れていないので教えていただけないでしょうか。 よろしくお願いします。

  • Re:管理自体辞めれば? (スコア:0)

    by Anonymous Coward on 2001年07月24日 1時38分 (#9010)
    >本当のプロは何を入れても管理コストは実は同じだという事を
    >ちゃんとプレゼンできる。危機管理を平準化したうえで、
    >目的を遂行する術を考える。

    「何を入れても管理コストは同じ」にはウソがあるよ。危機管理を平準化する?既知の危機は危機じゃないよ。未知だからこそ、「危機管理」が必要。つまり、平準化できるようなものは危機ではありません。

    >「管理コスト」をかさむのを拒むのではなく、日常的なコストと
    >非常時のコストの差を小さくするのがプロ。

    どのくらい小さくできるか、計量しておくべきだね。この「コストの差を小さくする」のは、文面からは「平時」と「非常時」を比較した場合だよね。管理が前提であるとしたら、わずかでも「差」が生じる。これが「わずか」であるかどうかは誰が、どう、判断するのか?結局同じではないか?どのくらいなら「わずか」と言えるのか?こればかりはケースバイケースでしょ。一般論にできない。

    >リスクを説明でき、それに見合った行動を常日頃からとるのが
    >プロ。自分に慢心しているのはプロ気取りであって、限界を悟るのが
    >プロです。

    このまえ、某有名セキュリティ監査会社に監査をお願いしたが、専門家でさえ、監査もれっていうのはあるよ。これだって「リスク」のうち。慢心なんかしているヒマはないよね。「現在を悟る」って、あまりに情緒的表現だね。客観的基準がない。心構え、っていうことだとその通りだが、精神論でシステム管理するんだったら、念力でもウンウンうなってやってれば?

    >ワタシはどれもできないヘタレです(ぉ

    そういうことか。ここまで、まじめに反論しててバカを見たね。まじめに反論しなければよかった。もっとも、/.なんだから、ヨタでもかまわんが。

  • Re:始末に悪いワームのようで (スコア:0)

    by Anonymous Coward on 2001年07月24日 1時49分 (#9014)

    IISは、そろそろパッチのレベルを超えて、「IIS-2」とか作って、全面的に入れ替え、というのも必要かと思います。それが一番の対抗策だね。

    ということで、永遠にこれが続くわけです。
    まぁ、がんばってちょ。うちはM$でサーバ作らないことでこれに対処しますんで。

  • Re:ac.jp (スコア:0)

    by Anonymous Coward on 2001年07月24日 10時59分 (#9104)
    >でも、日本語版IISは違う動作をするなんてことあるんですか!?

    あるでしょう。
    過去にもそういう事例がありましたし。
    攻撃側がどうプログラミングしたかによりますが。。。
typodupeerror

最初のバージョンは常に打ち捨てられる。