パスワードを忘れた? アカウント作成
4812 story

新型ワーム? ネットワーク全体で遅延発生中 335

ストーリー by Oliver
NOCの戦士達にエールを 部門より

kammy 曰く、 "ふと自宅のルータのアクセスログを見ていたら14:30位からUDPポート1434番(Microsoft SQL Monitor)に大量のアクセスが発生しているのを見つけました。気のせいかネットも重く感じます(17:30現在)。「韓国、ネットが全面まひ」と関係があるのでしょうか?続報を待ちましょう。"

yaizawa 曰く、 "現在MSのSQLをターゲットにしたwormが広まっている模様です。udp/1434を使っている模様なのでルータで落とすのがとりあえずの予防でしょうが、この穴のセキュリティ勧告が出たのが去年の7月だとか。"

起きて(ドイツ時間)、メールチェックをしようと思ったが、学術ネットワークの入口で50%強のパケットロス。タレコミをチェックすると複数の体験談がタレコまれていた。BugtraqNANOGへの投稿をみると、MS-SQLを狙ったワームが元凶なのはかなり確実と見ていいだろう。帯域限界までとにかくパケットを吐き続けけるみたいで、パケットを落す設定をした結果、回線は空いたがルータが過負荷で不安定になった、というケースが多いらしい。また、未確認ながらランダムに他のポートも狙う様だ。事態の鎮静化と解剖結果が待ち遠しい。

Update: 01/25 13:08 GMT by O:ネットはあいかわらず渋滞状態だが、とりあえず、穴を持っているホストはひととおり感染したみたいだ。同時に問題のワームの解剖と解析が進んでいる。それによると、UDPパケット1個に収まる376バイトのペイロードで感染し、自分をランダムな相手に送りまくる。パケット1個というコンパクトさと感染行動がタイトなループなことにより、帯域を潰せるみたいだ。また、ファイルに感染したり、痕跡は残さないのでリブートすると消えるが、とうぜん上記のセキュリティホールは残ったままなのですぐまた感染してしまう。すぐに亜種が出てくるだろうから、サービスパックやパッチはちゃんと当てましょう。意図的か偶然か、1月24日はこのセキュリティホールの発見からちょうど半年たった日だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • おいおい (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2003年01月25日 19時43分 (#243316)
    ミトニックよ、いきなりこれか。
  • Dear Uncle Bill (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2003年01月25日 18時41分 (#243279)
    信頼性強化、1週年記念 おめでとう Have a nice weekend
  • まとめ (スコア:3, 参考になる)

    by tyuu (9154) on 2003年01月25日 22時58分 (#243482) ホームページ 日記
    今回の事 [gigazine.net]をまとめているサイト発見。
  • 呼称のまとめ (スコア:3, 参考になる)

    by noririty (13640) on 2003年01月26日 2時55分 (#243604) ホームページ 日記

    毎度のことですが、会社毎に呼称が違うようです。(自分が)混乱しないうちにまとめておきます。

  • by qst (2019) on 2003年01月25日 20時53分 (#243375)
    Adaptive Server Enterprise [sybase.co.jp] の Transact-SQL にも MS SQL*Server とほぼ同一名称の拡張ストアド・プロシージャがあります。また、デフォルトのシステム管理権限ユーザIDが同じです。
    # xp_cmdshell を筆頭にヤバそうなのが…

    両者がTCP/IPの同じポートを使っていた気がしたので、手元の資料で調べてみました。
    結果、デフォルトのポートは1434番ではないみたいで。良かった良かった(?)。
    # 使用ポートはサーバの interfaces ファイル(UNIX版)次第です

    バージョン 11.5 以前は同じポートかもしれないので、一応ご確認を。
  • 朝鮮日報の記事 [chosun.com]によれば、韓国・情報通信部の李相哲長官が会見で、
    官公庁や企業の業務が始まる週明けに再びワームウイルスが侵入する可能性が高く、月曜の業務開始前に必要なセキュリティー措置を取ることが必要」と『対国民行動要領』を発表した。
    とのこと。

    まあ韓国は今回酷い被害にあったので当然と言えば当然の発言でしょうが、「報告は受けていない」 [srad.jp]「ルートサーバーに被害はなかった」などと発表してるどっかの国の政府の方も、もう少しマシな事を言ってもらえないものでしょうか…(笑えない)
  • by fumu (12002) on 2003年01月25日 19時08分 (#243293)
    記事をみてログを見ると1434ポートあてのパケットが18:30から19:00までに
    15回ほど届いています。同じホストではなく、ヨーロッパ方面のドメイン名でばらばらでした。
     一時期1434宛のパケットが増えた時期があってこの頃は静かになっていたんですが、また増えそうな予感。
    • Re:我が家の状況 (スコア:2, 参考になる)

      by simurgh (8142) on 2003年01月25日 21時11分 (#243383)
      NANOG(North American Network Operators Group)
      http://www.nanog.org/
      でも一番の話題です

      MLのarchiveはコチラ
      http://www.merit.edu/mail.archives/nanog/

      下を見る限り、急激にトラフィックが上がってますね
      http://mrtg.nac.net/switch9.oct.nac.net/3865/switch9.oct.nac.net-3865.html

      韓国のもこれで絶えられなくなって落ちたのかなぁ
      親コメント
    • ウチ(自宅)の場合だと、今日の14:45分から始まって、現時点で191件の記録が残ってます。こちらもホストはバラバラです。広域的に拡散してるのかなぁ・・・。
      親コメント
    • うちは 14:30~18:30 の間に 1434 ポート宛てに196回きました。
      全部 異なる IP からのアクセスでした。

      IP アドレスから、どこの国からの攻撃かを割り出すと、
      US 92回(46.94%)、CN 27回(13.78%)、KR 12回(6.12%)、
      以下、DE 10回、CA と CZ が 7回、TW が 6回、
      CH、JP、UK が 3 回です。

      こういう攻撃がある場合 韓国からのアッタクがもっとあるものだけれど、
      むこうのネットワークが大混乱なせいか普段より少なめですね。
      --
      コンタミは発見の母
      親コメント
    • by APM (4160) on 2003年01月25日 20時19分 (#243343)
      1分間に2,3個のペースで来てます(20:17現在)。

      ウチのルータショボいから、ルータの上流でカットしたいんだけどなぁ……。
      親コメント
  • by kondou (7687) on 2003年01月25日 19時29分 (#243308) ホームページ 日記
    さっきNHK のニュースでもやってました。

    ところで、一般人向け報道では、どういう原因説明がされるのでしょう?

    1. ウイルスによるインターネット麻痺
          →ウイルスけしからん。規制強化だ─!!!
    2. マイクロソフトの製品の不具合が原因で、、、
          →アメリカ政府から外務省に苦情が入る
              →自粛強化
    3. 管理されずに放置されていたサーバにウイルスが、、
          →でも、サーバ管理者の待遇は変らない。
    • by argon (3541) on 2003年01月25日 19時46分 (#243321) 日記
      >→でも、サーバ管理者の待遇は変らない。
       →→結果責任を問われてサーバ管理者の査定が下がる。
      親コメント
    • by Y.. (7829) on 2003年01月25日 21時32分 (#243408) 日記
      4.サーバー管理者がアップデートをしたがっていたにもかかわらずアップデートさせなかった上の方々が悪い
        →上の方々が責任をとって…

      こうなってくれれば多少は…
      親コメント
      • Re:TVでも (スコア:4, すばらしい洞察)

        by Anonymous Coward on 2003年01月25日 22時02分 (#243441)
        4.サーバー管理者がアップデートをしたがっていたにもかかわらずアップデートさせなかった上の方々が悪い
        管理者側が何度も上の方々に提案したという物証を残してないと、実際には上の方々の責任までもっていくことは難しいんじゃないですかね。で「証拠がない」と言われて現場の要求は潰されて、管理者が叩かれておしまいというお決まりのパターン。

        現場のみなさん、業務のやり取りをちゃんと全て書類に残してありますか?
        親コメント
  • by u1p (2709) on 2003年01月25日 19時51分 (#243327) 日記
    最近はマシになってきたんと違うか、と思ってたが。
    rejectのログ見ても、ピーク時(昨年後半)の7割くらいなんだけど。

    うちのサイトがあれなんかいな?
  • by zzztkf (4496) on 2003年01月25日 20時08分 (#243336) 日記
    Code Red,Nimda(こんなつづりだっけ)以来久しぶりですね、
    広い範囲でネットワークを麻痺させるようなwormは。

    例によって,例のごとくMS製品が標的というですが。
    --
    life is too short to hate each other.
    • Re:久しぶり (スコア:2, 興味深い)

      by pantora (11989) on 2003年01月25日 20時37分 (#243360)
      >Code Red,Nimda(こんなつづりだっけ)以来久しぶりですね、
      >広い範囲でネットワークを麻痺させるようなwormは。

      いやー。大変ですね。
      住基ネットのシステムってMS SQL Serverじゃないんかなー。
      Nimdaの時はIISからApacheへの移行だが、
      今回は、SQL ServerからOracleへの移行なのかな...

      # Microsoft Not Need
      --
      PCにECC Registeredメモリの利用を推奨します。
      親コメント
  • MS SQLServerのサービスを直接インターネット上公開するってなにか意味があるんでしょうか?

    IISをターゲットとした、CodeRedとかならともかくなんでこんなにはやるんでしょう?

    とりあず、外部に公開する必要のないサービスはふさいで起きましょうよ。ほかの人にも迷惑かけちゃうんだから・・。
    • 確かこの欠陥が見つかった時も, SQLサーバを外部にさらすような使い方をすることはほとんど無いはずだから, 欠陥としては深刻だけど影響は少ないはずという論調があって, 私自身もその意見に同意していました.

      でも結果は... 教訓!!バカはなめちゃいけない.

      親コメント
    • そういう措置がとれる人ばかりなら、大半の worm 被害は防げるのではなかろうか。

      デフォルトでサービスをふさぐ方が安全なんでしょうが、ふさぐと今度は××が動かんぞー、と騒ぐ奴が山のようにでるんだろうな。逆に踏台にされているユーザは知らないだけに文句は言わない。なんか安全側にスイッチを倒してくれる望みは薄い気がするなぁ。

      --
      親コメント
      • by zzztkf (4496) on 2003年01月26日 9時51分 (#243656) 日記
        無料で配ったりしてるから、じゃ無いですかね。将来のセキュリティ
        向上の一環として製品の無料配布をやめるとかになったりして。
        わらしはMSの競合会社につとめてるものですが、W2kとかSQL鯖とか
        突然、自宅に送ってこられたりしたことがあります。ありがたく
        つかわせてもらってますが(制限の範囲内でって意味ですよ)。
        --
        life is too short to hate each other.
        親コメント
    • > MS SQLServerのサービスを直接インターネット上公開するってなにか意味があるんでしょうか?

      DTS(Data Transformation Service) [microsoft.com] でインターネット越しにデータを授受する、ってのはどうでしょう?
      ・本社-営業所間のデータ同期
      ・自社-取引会社間でのデータ同期
      ・ウェアハウスへのデータロード(普通はLAN内で行うものでしょうが…)
      等、結構便利です。前提条件として、データ送信元/先の両者が直接接続できる必要があったと思います。
      DTSを利用するにしても、VPN越しに行うのが普通だと思いますが。

      他では、インターネット越しに取引会社のOracle等をマウントして(ゲフンゲフン)、というのもアリかもしれません。

      最近 SQL*Server では遊んでないので間違いがあるかもしれません。鵜呑みにしないでくださいね。
      親コメント
  • 午後からWindowsXPを新規にインストールしていたのですが、どうやっても「サーバーにつながりません」なので、ついに電話(トーン)でやることに。電話も込んでいたが、ようやくつながってインストールIDを入れると「確認しています」で1分くらいまたせて、オペレーターへ(ここでも待った)。 オペレーター曰く、「現在、確認が取れなくなっており、復旧の見通しはたっていない」とのこと。 せめて電話の音声ガイダンスとか変更しておいてもらえれば...
  • by Anonymous Coward on 2003年01月25日 21時17分 (#243390)
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...