パスワードを忘れた? アカウント作成
Close
1104 story

対岸の火事ではない。X.Cワーム 24

ストーリー by wakatono
まずはTCPの23番ポートを閉じよう 部門より

yu_raku 曰く,"WindowsNTのIISをターゲットにした、Code Redの話題は多くありますが、 ZDNetによると、UNIXでもtelnetdを狙って、似たような手口を使って感染するワーム「X.C」というものが出回っているようです。現在のバージョンでは感染力は弱いようですが、どんな変種がでてくるかわからないので、注意が必要でしょう。しかし、そもそもtelnetdを動かしている時点で、セキュリティなんぞ考えていない?"

「ほれみたことか、UNIX/Linuxだから」といわれないように、日ごろから兜の緒を締めておくべし。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

対岸の火事ではない。X.Cワーム More

  • おおっと (スコア:3, 参考になる)

    by mishima (737) on 2001年09月13日 20時33分 (#22473) ホームページ 日記
    なんだなんだ、X.C?そんな話聞いてないぞ、マズいじゃないかと思って調べてみた。

    http://www.jpcert.or.jp/at/2001/at010021.txt
    http://www.jpcert.or.jp/at/2001/at010016.txt
    http://www.debian.org/security/2001/dsa-070

    ここら辺の話かな。
    うちのでびあんは週に一度は aptitude で upgrade してるので問題なかったみたい。

    #しかし、Solaris マシンも管理してるんだけど…
    # こっちの in.telnetd は大丈夫なの?
    #SUN は調査中としか書いてないし。
    --
    # mishimaは本田透先生を熱烈に応援しています

  • 僕がよく見るのは(Re:先週聞いて) (スコア:3, 参考になる)

    by kiyotan (3912) on 2001年09月14日 11時40分 (#22631) 日記
    あたりですかね。 (JPCERT は情報出したら出しっぱなしな気がする。 本家とのタイムラグ結構あるし。) あと、各ソフトの公式ページとファンページ(?)。
    例えば、apache なら、 The Apache Software Foundation とか、JAPAN APACHE USERS GROUP とかですかね。
    僕は debian 使ってるんですが、 日本の Linux 情報 Debian GNU/Linux -- ユニバーサルオペレーティングシステム を見てると関係しそうなセキュリティ問題の情報は トップページにだいたい出てますね。
    また、debian-ML に入ってると、 debian で用意されてるパッケージにセキュリティ問題が 見つかった時は情報が送られてきます。 (翻訳してくださってる方に感謝)
    --
    Kiyotan
  • って、こいつ↓のことかな?
    JPCERTの警告

  • 綱引き (スコア:2, 興味深い)

    by gao (270) on 2001年09月13日 21時07分 (#22481) ホームページ
    > しかし、そもそもtelnetdを動かしている時点で、セキュリティなんぞ考えていない?

    いつも、これが言えたら幸せです。
    哀しいかな、経済性、利便性、安全性(+天の一声)の綱引きによっちゃぁ telnetd も動かさにゃならんことも。
    もちろん、TCPWrapper やフィルタ必須ですけど。
    --
    --gao

  • Re:綱引き (スコア:2, 興味深い)

    by LightSpeed-J (4514) on 2001年09月13日 22時26分 (#22499) ホームページ
     変な話ですが,機能のON/OFFという極端な形でしか対応できないツールが「標準」で導入されてしまう,というのもそもそも問題かもしれないですよね。
     telnet を ON/OFF することのよしあしよりも前に,telnetが脆弱なのがこと自体が問題なのでは?
     こいつがはじめからセキュアな手段ならよいわけでしょ? 結局。
     Windowsも(あえて)UNIXも,そんなものじゃないですか?
     「IISはOSの一部だよ」「telnetはOSの一部だよ」ってどっちがどれくらい間違ってるのかなあ。
    --
    -- LightSpeed-J

  • 先週聞いて (スコア:2)

    by dai75 (557) on 2001年09月13日 22時59分 (#22509) 日記
    慌てて telnet 落としました。
    ワームの拡散速度はとんでもないからねぇ。
    週末に tcpwrapper 入れないと(まだ入れてないのかってのは許して^^;)。

    でもこの x.c って情報が全然無くて分からないのです。
    今は落ちているどこかのサイトに依存しているようで、現在は活動できないらしいけれど。

    tripwire や netstat で変なものは無いので大丈夫だとは思うけれど。
    感染したらどういうことやるのか情報無くて、感染していないという確証が持てない。
    どなたか知ってます?
    --
    -- wanna be the biggest dreamer

  • Solarisも怪しい (スコア:2, 参考になる)

    by brake-handle (5065) on 2001年09月14日 0時07分 (#22532)

    FreeBSDで穴を塞いだ時のdiffとSolaris8 Foundation Sourceのosnet_volume/usr/src/cmd/cmd-inet/usr.sbin/in.telnetd.cを比べてみたのですが、Solaris8でも同様の問題はありそうです。

    もっとも、diff自体は何とかすれば当たるでしょう。Foundation SourceおよびBuild Environmentを持っているのであれば作り直してしまうのも手です。gccで作れるかどうかは知りません。

  • Re:綱引き (スコア:2, 参考になる)

    by brake-handle (5065) on 2001年09月14日 0時16分 (#22533)

    これに関しては、Y2Kと同じで一概に当時の人を責めることは難しいです。telnetの実装は4.2BSD(1983)にまで遡ります。

    また、今回の問題はあくまで実装にあります。protocolそのものに直接関係はありません。protocolに問題があったらRFC書き直しですな。

  • Re:先週聞いて (スコア:2)

    by dai75 (557) on 2001年09月14日 0時33分 (#22539) 日記
    >どうせなら SSH にすれば?

    もちろん僕は使ってるけれど、素人さんに SSH 説明するの面倒でさ(^^;

    >亜種が出てきたらまた何するか予想もつかないんじゃないのかな。

    これからの感染は、もう防御したから大丈夫。
    今、感染してないか知りたいのだ。
    バッファオーバーフローの脆弱性、じゃ感染後に何するのかは全然分からん。

    --
    -- wanna be the biggest dreamer

  • Re:先週聞いて (スコア:2)

    by soramine (1131) on 2001年09月14日 0時43分 (#22541) 日記
     FreeBSD(98) のインストールをして、ゆくゆくは何かのサーバーにできたらいいなあと考えているですが、そもそもネットワークがよくわからないので、怖くて多くの作業を躊躇してしまうです。

     たとえば新米のネットワーク管理者や、セキュリティ情報になかなかたどり着けない管理者に対して、セキュリティに関する有用なサイトを示すなど、ある程度誘導するというのも、被害を拡大させないことにつながるかもしれないとも思うです。

    # SSHなども含め、網羅しているサイトであるとか、ここは見ておくと良いというところであるとか、かな?

     どなたか心強い先輩が近くにいれば、あまり問題にならないのかもしれないですが……。
    --
    -------- SORAMINE Yukino

  • ふしぎふしぎ (スコア:2, 興味深い)

    by SteppingWind (2654) on 2001年09月14日 2時59分 (#22567)

    このtelnetの問題自体についてはだいぶ前からwww.FreeBSD.orgのTopページに掲載されていますし, 今月発売のUnixUserでもバックドアを設けるところまで確認できたと記述されているぐらいですから, 既に知れ渡っている物だと思っていました.

    それより不思議なのは, 別スレッドにも有るように, システム上の要件で外部に対してtelnetサービスを提供しなければならないのでもないのに, ポートが開きっぱなしというのはちょっと信じられない無防備さだと思います. 私も内部ネットワーク間ではまだtelnetを使っていますが(sshに移行中です), 少なくとも外部からのアクセスについてはフィルタリングするようにしています.

    ところでFreeBSDでもOpenBSDにならってか, inetd.confでデフォルトで開いているサービスがついに4.4からは無くなるみたいですね.

  • 日本 Linux 協会のバグ・セキュリティ情報によれば、telnetdが8/22、xinetdが6/22に告知されています。

  • Re:ふしぎふしぎ (スコア:2)

    by argon (3541) on 2001年09月15日 0時17分 (#22822) 日記
    昨年来いくつか触った Linux Distribution でも default close なのに、
    FreeBSD 4.3R で open だったので驚いてました。
    ま、入れてすぐ塞ぎましたが。

  • おふとぴですが・・・ (スコア:1)

    by take0m (4948) on 2001年09月13日 21時27分 (#22483) 日記
    2日前にタレコんだら、拒否された(笑)
    やはり、書き方は重要ですね。
  • 既に閉じてずいぶん経ってるので,ふつーそーゆーモンかと思ってました.
    # telnet コマンドは便利だから使ってるけどね.

    自分のトコだけ良ければ,後は知らんというのはイケナイのかも,とちょっと反省しました.
    まぁ telnetd に限らず,余計なポートは開けないということで,自分にポートスキャンかけてチェックするようにしましょう.
    (ここらへん参考になる?)
    --
    masashi

  • 私も拒否されました (スコア:1)

    by Technical Type (3408) on 2001年09月14日 12時05分 (#22637)
    私も以下のタレコミが拒否されて、
      2001-09-11 12:07:08 狂牛病が日本に上陸か (articles,news) (拒否)
    同日の 10:38PM のマクドナルドが狂牛病に安全宣言の投稿が採用されるというのが良く理解できない。

    さすがに、拒否された内容を、こちらの方に書く気はしなかった。

    Slashdot の採用・拒否の判断基準が解らないなぁ、、、

  • Subject は s/inetd/telnetd/ ですよね?
    # xinetd にも最近安全保障穴が見つかったはずですけど

    うちの箱は 8/25 頃に chmod -x しました (外には tcp/23 開けてませんけど ssh した後、 local から破られる可能性を否定できないので)。
    # telnetd は今週末に入れ替えます。
    # procmail も入れ替えないと...

  • stack-smashing protector (スコア:1)

    by maf (5386) on 2001年09月14日 17時27分 (#22722)

    あいかわらずbuffer overflowが原因のセキュリティホールは多いですね。 これからInternetに公開するサーバ等の用途でUNIXなマシンをセットアップするなら、 stack-smashing protector patch(ProPolice)など、 buffer overflow対策ツールを導入しておくのも検討に値するでしょう。

    http://www.trl.ibm.com/projects/security/ssp/

    もちろん、このパッチだけに頼りきって本来buffer overflowがあるプログラムを放置する、という運用はあまり感心できませんが(この実装にも穴が見つかったらどうする?)、少なくとも「buffer overflowが原因のセキュリティホールが見つかった」時に、「根本的な対策を施すまでの間、時間を稼ぐ」事はできますね。

  • ZDNetの元記事 であげられている 「NIPCのX.Cワーム警報」のURLが分かりました。 http://www.nipc.gov/warnings/assessments/2001/01-019.htmです。

    ただし、このページ自体にはあまり詳しい事は書かれていません。

  • ZDNetの記事
      Telnetdシステムのバッファオーバーフローの問題を悪用して,「x.c.」と呼ばれる同ワームのプログラムのソースコードを,ポーランドのサーバから呼び出して感染したホスト上に複製しようとする。
    」の中の、 ポーランドのサーバというのはhttp://mri.am.lublin.pl/ のようです。

    参照: [NEWSBYTES] Polish Worm Provides Jolt To Unix Operators

  • ウロですが、BagTraq による telnetd の穴に対する指摘は八月初旬だったはずだと思います。

  • Re:先週聞いて (スコア:0)

    by Anonymous Coward on 2001年09月13日 23時33分 (#22517)
    >末に tcpwrapper 入れないと

    どうせなら SSH にすれば?

    >感染したらどういうことやるのか情報無くて

    確かに。
    でも x.c ワームはやること決まってるんだろうけど、穴はバッファオーバーフローだからねえ。亜種が出てきたらまた何するか予想もつかないんじゃないのかな。

  • それより (スコア:0)

    by Anonymous Coward on 2001年09月13日 23時35分 (#22519)
    2 日前はそれどころじゃなかったしよ。

  • ついでだが (スコア:0)

    by Anonymous Coward on 2001年09月15日 7時20分 (#22866)

    ついでだが、telnetdだけじゃなくてSSHはバージョンによっては致命的なセキュリティホールがある、っていうことなので、SSH入れてるから大丈夫、なんて思わないようにね。

typodupeerror

※ただしPHPを除く -- あるAdmin