sato4の日記: は~あ、IIS
サーバに繋がらないというクレームが来る。サーバを調べると何の異常もない。
たまに繋がらなくなるんです。他のサーバーには繋がるんだから、こちらは 悪くないという証拠です! ちゃんと調べることは可能でしょう!
こっちも素人じゃないんだから、それくらいの判断は出来ますよ!
と、そこまでいうのなら必要以上に調べてやろう。
まず、たまに特定のサイトに繋がらなくなるのは、経路上の問題がある場合と
そこのLAN内にCodeRed, Nimdaに侵されたマシンがあり、感染を広げるための
コネクションを大量に張り始めたときなどがある。(他にも色々あるが)
そこで、ちゃんと調べろという指示に基づき、顧客のネットにPortScanをかける。
本来は自分たちの管理する、あるいは関係のあるネット以外にはしないのだが、
今回はそこまで言われたのでやむを得ない。
む、なんか1台80番が開いているマシンがあるな。なになに、バナーはWindowsの
IIS5.0 と出た。
ふむふむ、やはり怪しい。CodeRedScanしてみよう。これはセキュリティ会社が
配布しているCodeRedに感染する可能性のあるサーバをチェックするツールだ。
"Volunable"(脆弱性あり)と出た。
CodeRedが出回り始めて数ヶ月、その後CodeRedII, Nimdaと変種が数多く出てきた
ことや、インターネットに繋いだとたんに感染攻撃がある現状から言うと、
このマシンがCodeRedの類に感染しなかった確率は0に近いだろう。
root.exeをたたけば確認は出来るが、そこからは侵入になるのでやめよう。
何がいいたいかの結論は、こうだ。
こちらも素人じゃないんだからわかってるという管理者(とはもはや
いえない)がCodeRedの類に感染したまま放置し、パッチも当てず、立派に
やっているつもりで迷惑を垂れ流ししているということだ。
今回の場合、それによって発生した障害を関係のない人のせいにまでしている。
世の中にはそういう「なんちゃって管理者」が多いんだろう。だからこれほど
CodeRed類のワームが世界中を席巻して各地で深刻な問題となり、感染者自身も
危険な状況にあっても未だパッチを当てずのうのうと生きているのだ。
もはやCodeRed特別時限法案をつくり、この時期に来てパッチの当たっていない
IISには侵入して勝手にパッチをあてたり、shutdownしたり、formatしたりして
もよいことにすればいいような気もしてきた。
そこまでしないと、今回のような似非管理者は根絶されないだろう
って書くと危険思想を持ってホントに侵入しそうな人だ、と思われるかもしれないが、
そんなことしないよ。だってあまりにも数が多すぎてやってらんない。
そういう合法的運動がはじまって、皆で手分けしてってならやらないでもないかも。
は~あ、IIS More ログイン