3/10のWindows Defender更新でhostsが書き換えられる!? 52
ストーリー by hylom
まさにハマりました 部門より
まさにハマりました 部門より
127.0.0.1 曰く、
やねうらお-よっちゃんイカを食べながら年収1億円稼げる(かも知れない)仕事術より。
Windows Defenderのupdateで、Windowsのhostsファイルから「127.0.0.1 localhost」という項目が削除される問題が発生しているようだ。これにより一部環境で問題が起きているらしい。
同記事によると、2chやOKWaveで事例の報告がある模様。
私の環境(Windows Vista Business SP1)でもこの問題が発生した。Windows Defenderの「履歴」によると、「SettingModifier:Win32/PossibleHostsFileHijack」という名前で、「C:\Windows\system32\drivers\etc\hosts」の変更が検出されており、hostsファイルから「127.0.0.1 localhost」という行が削除されたようだ。
これにより、当方の環境ではWebブラウザやtelnetで「localhost」にアクセスできない問題が発生していた。さらにhostsファイルから該当の項目が削除されたのち、再度同じ項目をhostsファイルに追記しようとした際も同様にWindows Defenderが変更を検出、削除を試みるので注意が必要だ。
そりゃあ (スコア:5, おもしろおかしい)
タレコミ主には看過できないわなぁ。
Re:そりゃあ (スコア:5, おもしろおかしい)
俺も大変ですよ。
Re:そりゃあ (スコア:1)
ぬう、実は同一人物だろう?
# ってことないですけど、自分でも間違えそうなアカウント名ですね、両氏
M-FalconSky (暑いか寒い)
Re:そりゃあ (スコア:5, おもしろおかしい)
Re:そりゃあ (スコア:5, すばらしい洞察)
今まで同一人物だったものが、今回Windows Defenderによって別人にされたのでは。
Re:そりゃあ (スコア:2)
タレコミ主曰く、"たかがlocalhostをやられただけだ"
Re: (スコア:0)
>タレコミ主曰く、"たかがlocalhostをやられただけだ"
いや、それだと「白い悪魔」だから。
#一瞬「Windows Destroyerなんだから当然じゃん」と思ったのは秘密。
Re: (スコア:0)
駄目だ、すでに「管理局の」白い悪魔で「連邦の」白い悪魔が上書きされてしまっている。
「そんなシチュエーションあったかな?」と思ってしまった。
追加情報 (スコア:5, 参考になる)
海外では早くから取り上げられています。
Windows Defender: False alarm triggered by hosts file
http://www.h-online.com/security/Windows-Defender-False-alarm-triggere... [h-online.com]
これによれば、月曜日のWindows Defenderの自動更新の際、欠陥のあるシグネチャで配布された事が
原因で、今はもう直っています。
対策として、Windows Defenderの発する警告を無視して、Windows Updateから更新が推奨されています。
もし、隔離もしくは、削除してしまった人も、上記記事に対策が書かれていますので、ご覧ください。
Re:追加情報 (スコア:1)
Malware Protection Center - Entry: SettingsModifier:Win32/PossibleHostsFileHijack [microsoft.com],こちらにどの定義バージョンから直ってるかとか、詳細が乗ってますね。
私が見たときはまだ自動ダウンロードできなかったので、How to manually download the latest definition updates for Windows Defender [microsoft.com]にあるツールで最新にしました。
::1 (スコア:3, おもしろおかしい)
Re:::1 (スコア:3, 参考になる)
IPv6をインストールしていると、今回の不具合とは関係なしにそうなります。Vistaではデフォルトでそうなります。hostsファイルにも
::1 localhost
とか書き加わります。これのせいで、IPv4オンリーの(現状ではMS純正以外のほとんどすべての)サーバソフトウェアに、ホスト名(localhost)でアクセスできなくなるという現象が発生したりします。
Re:::1 (スコア:1)
ping localhostの結果を取っ掛かりにして、この問題で身の回りで起きた不具合の解決法を見つけたのですが・・・偶然でしたか(笑)。
誰かが (スコア:3, おもしろおかしい)
「127.0.0.1は私のIPアドレスです。勝手に使わないでください」って
騒いだわけじゃないのか。
普段ローカル・ループバック使わないので (スコア:2)
今のところ問題ないし。
#開発環境では明示的なIP指定ってデフォじゃないの?
Re:普段ローカル・ループバック使わないので (スコア:1, 参考になる)
http://localhost/hogehoge
で IE が開きまする……。
Re:普段ローカル・ループバック使わないので (スコア:1)
おぉそうでしたか・・・それは知りませんでした。
情報どうもです!
#なんと鬼畜なMSよ
Re:普段ローカル・ループバック使わないので (スコア:1)
少々古いですがボーランド系(現コードギア)でも試してみました。
BDS(Borland Development Suite)2006のDelphi.NET Webアプリ +
Cassini Personal Web Serverだと、実行したときブラウザが接続する
サーバは localhost:8080 になります。
(WindowsXP HomeなのでIISのケースは試していませんが……)
# アップグレードしそこねたのでID
『月面兎兵器ミーナ』2007年1月13日から放送開始
Re: (スコア:0)
VMware server2の管理コンソールにログインができないとか。
小一時間悩みました。。
routeコマンドで (スコア:2)
追加できなかったっけ?
SettingModifier:Win32/PossibleHostsFileHijack (スコア:1)
Windows Defenderの画面 [livefilestore.com]。
なにかが取り除かれたらしい。
屍体メモ [windy.cx]
Re:SettingModifier:Win32/PossibleHostsFileHijack (スコア:2, おもしろおかしい)
Windows Defenderには「SettingModifier:Win32/PossibleHostsFileHijack」という蔑称・・・もとい、別称があるって事でしょうか?
もともと (スコア:1, 参考になる)
Windows Defenderを無効にしてるので影響なし
Re:もともと (スコア:1, おもしろおかしい)
とかいいつつ他のウイルス対策ソフトも入れてないせいで、全く問題無しじゃない可能性。
おじいさん役の俳優は2003年1月に亡くなられています (スコア:1)
私のおじいさんがくれた初めてのc:\windows\hosts
その味はDNSを必要としないほど甘くてクリーミィで
こんなすてきなセキュリティ対策を与えられる私は
きっと特別な存在なのだと感じました
今ではわたしがおじいさん
孫(Vista)から取りあげるのはもちろんWindows Defender
なぜなら孫もまた特別な存在だからです
俺はドコだあぁぁぁ!! (スコア:1, おもしろおかしい)
自分探しの旅に出ます。探さないでください (スコア:1)
T/O
俺のイメージでは (スコア:0)
俺は今、ここにいる。
その事実は間違いない。
ただ、一つだけ分からないことがある。
ここはどこなんだ?
# という雰囲気です。
Re: (スコア:0)
私はどこ?
ここは誰?
#そう言ってブロードキャストにpingをぶっ放してみる、とか。
ちょうどhosts書き換えてた (スコア:1)
「hostsが書き換えられました」というような警告が表示されたけど、ちょうどテストで書き換えて保存したところだったので「俺が書き換えたんじゃ。無視無視」とボタンを押したので問題ありませんでした。
#Defenderも仕事してるなあと感心して損したのでID。
LIVE-GON(リベゴン)
Re: (スコア:0)
無視リストに追加していた。
XPみたいに、 0.0.0.0 → 0 って省略できないのが面倒。
なんか最近 (スコア:1, オフトピック)
こういうネタで騒ぎすぎなんじゃないですかね?
気づいたらblog更新する前にMSへ報告すればよいだけの気が…。
Re:なんか最近 (スコア:4, すばらしい洞察)
Re:なんか最近 (スコア:1)
Re:なんか最近 (スコア:1)
静かに解決しちゃってると、「あれは何だったんだろう?」と、時折気になりつつも調べる気にもならずにほったらかし・・・というダメな状況が長引いてしまいますので。
問い合わせるとなると、個人的に悪い事をやった報いなのか、一般的に起こってる問題なのか、の切り分けもめんどくさいですし。
POPFileのUIで気づいた (スコア:1, 参考になる)
ある日、POPFileのUIが表示できなくなってるのに気づいてググったら、まさにこれでした。
設定にhttp://localhost:[ポート番号]/を使ってるアプリやユーティリティって他にもあると思うんで、結構影響範囲が大きいんじゃないかなぁ。
あえてFQDNに127.0.0.1を振ってみる (スコア:1)
127.0.0.1 localhost だったら消されちゃうので、あえて 127.0.0.1 localhost.example.com とかにしてみるとか。
それはそうと、127.0.0.2 とか 127.1.2.3 とかって特にIP aliasingみたいなことしなくても使えるんだね、WindowsでもLinuxでも。
屍体メモ [windy.cx]
Re:あえてFQDNに127.0.0.1を振ってみる (スコア:1)
ループバックアドレスは127.0.0.0/8だとRFC1700 [faqs.org], RFC3330 [faqs.org]で定義されているので、127.255.255.254 とかでもループバックです。(127.255.255.255はブロードキャスト)
hosts (スコア:0)
もし、hostsを元に戻して解決を図ろうとしてたら、Defenderとのイタチごっこになってたわけですね(-_-)
それって、ウィルスの感染を確信して自分のPCを隔離 → 外部メディアから起動出来るウィルスチェッカを買ってきてHDDを完全スキャン、まで突っ走るに十分値する状態のような・・・。
警告でなかったっけ (スコア:0)
承知の上だから問題は特になし。
でも、普通の人(非技術者)が嵌る可能性はあるわな…
McAfeeも (スコア:0, オフトピック)
米Symantec、パッチ「PIFTS.exe」の警告問題について釈明 [impress.co.jp]
なんてのもあったようで。
# 難儀な時期なのか?
M-FalconSky (暑いか寒い)
DNS問い合わせしても解決してくれない? (スコア:0)
スタンドアローンで解決してくれるDNSが居ない場合は問題が起きるのは当然として・・・
DNSにってlocalhost→127.0.0.1に解決してくれたり、解決してくれなかったりするんでしょうか。
それとも勝手に「localhost.example.comへの問い合わせ」みたいな感じで補完しちゃうからダメなんでしょうか。
ためしにlocalhostでDNS問い合わせしたら解決できなかったけど、
「localhost.」で問い合わせたら127.0.0.1を返してくれましたが・・・・
hostsから削除されることが問題となる、その本質が理解できていません・・・・・。
詳しい人解説プリーズ
Re:DNS問い合わせしても解決してくれない? (スコア:1)
そういえば,逆引きで localhost を返すホストがありますね. 203.160.1.43 とか 222.253.30.39 とか.
逆引きは信用するな,と言ってしまえばそれまでなんだけど.
Re: (スコア:0)
家のルータ(NTTの光マンションタイプVDSL用)に問い合わせると
"."をつけてもつけなくても127.0.0.1を返してきました。
ちなみに最後の"."は無視されるようです。
hostsから消えると、それこそ"localhost"というホスト名で通信するソフトは影響を受けます。
必ずループバックアドレスで通信を成功させる必要がある場合はIPアドレス直書きにすべきですが、
流用を考えるとホスト名での記述のほうがよいと思います。
ただし、上記のようにhostsから消えると通信できなくなります。
Re: (スコア:0)
localhostへの通信はDNSがなくても通信できることを期待しているはずです。
ループバックアドレスがルータから返されるというのにも違和感があります。
この違和感の確認をしたかったのです。
RFC上ではどう扱われているのかは調べていません…
Re:DNS問い合わせしても解決してくれない? (スコア:2)
Re: (スコア:0)
> ループバックアドレスがルータから返されるというのにも違和感があります。
ルータの箱が返してるかもしれないけれど、ルーティングデーモンが返してるんじゃなくて
DNSサーバが返してるんだから、あなたの違和感はちょっと的外れ
定番DNSであるところのbindでは、 localhost ゾーンを扱うのは別に珍しい話じゃないと思います。むしろ普通?
Re: (スコア:0)
IP アドレス直書きだと、実際のループバックが 127.0.0.1 じゃなかった場合はどうなるんでしょうか。
自分自身を見失ったら大変。 (スコア:0)
Windowsの話でないので、ややOffTopicですが。
fetchmailの謎動作に迷ったことがあります。
リモートからメールをAPOPで取れますが、ローカルのメールサーバに流せないのです。
postfixは動いてるのに、telnet localhost 25 でも接続できません。
なにげにlocalhostにpingを打って、ようやく気づきました。
loに127.0.0.1/8 が当たっておらず、upもしてませんでした。
Debian Etchの/etc/network/interfacesの設定ミスが敗因だったようです。
おっと! (スコア:0, オフトピック)
と思い、久しぶりに会社支給のWindows Vista Home PremiumなノートPCを
起動してみようとおもったが、
そういえば先日OSをFedroa 10に入れ替えたんだった。
自分で「さよならだVista!そしてようこそFedora!」とどこかに書きこんだ記憶が・・・。
めでたしめでたし。
一応、他の社員のVistaマシンのhostsも確認してみます。