packages.debian.or.jpがワームによるDDoSで運用停止に 32
ストーリー by Oliver
災害はどこから降ってくるかわからない 部門より
災害はどこから降ってくるかわからない 部門より
densuke曰く、"国内でのDebian GNU/Linux関連の情報を扱っているdebian.or.jpのホストのうち、packages.debian.or.jpがつながりにくくなっているという問題が発生しました。原因はW32/Bagleワームによるもので、感染したホストの攻撃先リストのひとつにpackages.debian.or.jpが含まれているという解析結果が出ております。実際の攻撃先はhttp://packages.debian.or.jp/1.jpgとなっており、現在はpackages.debian.or.jpを止めることで対処しているそうです。
このワームが根絶されることは非常に難しいと思うのですけど、このような方法しか対処する術はないのでしょうか、残念でなりません。"
もし IE が絡んでいるなら (スコア:3, 興味深い)
<script type="text/javascript">
alert("ウィルスに感染しています");
</scipt>
のような Javascript を渡しやれば感染者に適切な警告くらいはできないかなー?という気が、、、
# 無視されるのがオチでしょうか、、、(; ;)
もし上手く行くなら、どっかの対策サイトなり、ウィルスバスターのオンラインスキャン [antivirus.com]なりへ誘導してやれる事も可能なのだが、、、
# 出来たとしても感染者の母国語の問題もあるけど、、、
IE だと先日話題になってた web ページ見ただけで乗っ取り可能 [srad.jp]って大穴も使えそうな気がするけど、それは流石にマズぃだろうし、、、(^^;;;)
# 攻性防壁、、、(^^;;;)ぼそ、、、
uxi
Re:もし IE が絡んでいるなら (スコア:2)
たしかUA名を指定しない場合、IEのものが使われたハズ‥‥
Re:もし IE が絡んでいるなら (スコア:1)
「貴方のPCが」という主語を補ったほうが良さそうです。
さもないと、「こっちの鯖が」が主語である、と誤解されかねん。
ところでJavaScriptじゃなく生HTMLじゃ駄目でしょうか?
まあ両方やればいいのか。
> MIME で text/html 返すようにしといて
IEって拡張子のほうが勝っちゃうんじゃなかったでしたっけ?
>もし上手く行くなら、どっかの対策サイトなり、ウィルスバスターのオンラインスキャン [antivirus.com]なりへ誘導してやれる事も可能なのだが
先方に断りを入れてからでないと、それはそれで新たなDoSを(antivirus.comに)仕掛けたことになっちゃいそう。
あちらは迷惑がるかな?商機と見るかな?
#NAVの重さに辟易してるのでG7。次はSunJavaDesktopなPC [itmedia.co.jp]にしよっかな…
># 出来たとしても感染者の母国語の問題もあるけど、、、
jpなサイトなら、「日本語はこちら」「英語はこちら」っていう2つのリンクを示すくらいで
OKじゃないのかなあ…
Re:もし IE が絡んでいるなら (スコア:1)
おそろしいことに、HTTPのレスポンスについてはContent-Typeも拡張子も見てくれません。hoge.txtにタグを書いてサーバに置いたときの衝撃は忘れられん……(-◇-;
# たしか、これがあるから、リンク先がイメージデータの拡張子を持ってても安心できないのではなかったっけ。
Re:もし IE が絡んでいるなら (スコア:0)
消された画像に脊髄反射して、アラート出まくりですね。
便乗のいたずらが横行して、初心者なんかインターネットしなくたったりしませんか?
全画面で喪黒福造のフ
DDoSされた後に (スコア:3, 参考になる)
ISP における DDoS 対応について~DNS の活用とネットワークの立場から~ [janog.gr.jp]これに詳しく書かれています。なかなか分かりやすく書かれていますし、一読をお勧めします。
モデレート中なのでAC
とりあえず参考リンク (スコア:2, 参考になる)
目的? (スコア:1, 興味深い)
http://www.math.kobe-u.ac.jp/
なんてのもありますね。
いったいどういう根拠というか、目的があって
こういうリストになったのか興味があります。
いままで、ターゲットにされるサイトの選定には、
有る程度(単純な好き嫌いも含めた)政治的・思
想なものがあったかと思うんですが、今回のには
それが感じられません。
Re:目的? (スコア:3, 興味深い)
推測しづらいだけじゃないかなぁ。例えば、spam屋さんがabuse-report出さ
れた腹いせにやってるとか?
ところで、
ln -s /dev/random ${DOCUMENT_ROOT}/1.jpg
とかやって、攻撃側のディスクを溢れさすという対処は、法律的には許され
る反撃だろうか?
#きっとそのうちアクセスが止まるよね。
Re:目的? (スコア:2, すばらしい洞察)
帯域がひたすら無駄になるだけだと思うぞ。
そしてアクセスも止まらない。
Re:目的? (スコア:3, 参考になる)
データ自体に意味がないであれば,バッファを使いまわして,先に受信したデータを上書きするのが普通で,わざわざファイルハンドらへ書き出す必要はありません.
※例:帯域測定ソフトの実装
Re:目的? (スコア:0)
ワームがレスポンスをディスクに保存しているなら
意味あるだろうけど、普通そんなことはしないでしょう。
Re:目的? (スコア:0)
#いやワームの仕様ってあんまり目にすることが無いのでただの興味
Re:目的? (スコア:1)
それを食べるなんていう恐ろしいことをしたいとは、(クラッカーは)思わないんじゃないかな。
返り討ちにするためのトラップ入りかも知れないぢゃないか。毒餌。
ん?それとも、乗っ取った他人のPCがどんな「恐ろしい」目にあっても
知ったこっちゃない、ってところなのかなあ?
Re:目的? (スコア:0)
Re:目的? (スコア:0)
取得するけど直ぐに捨てるんだよ。
ちゃんとコメント読め
Re:目的? (スコア:0)
みんななんでしってるんだろうって思ったよ。
ディスアセンブルしたのかと思った。
Re:目的? (スコア:0)
この場合は DoS が目的だから、レスポンスを読む必要がないし。
仮にレスポンスを読む必要があるとしても、ファイルに出力する
ケースは少なそう。
Re:目的? (スコア:0)
Re:目的? (スコア:0)
しないっつの。UNIX もしないし、Windows もしない。
これだから Windows をバカにしているつもりの真性バカは
始末が悪い。
while (1){
char buf[256];
int len = read(sock, buf, sizeof(buf));
if ( len == 0 ) break;
}
こ
Re:目的? (スコア:0, おもしろおかしい)
プログラム書いたことのない人は、黙ってた方がいいよ。
Re:目的? (スコア:1, 参考になる)
サーバの実装に大きく依存する話だけれども、レギュラーファイルではないためにサイズ0になる可能性が高いような気も。
仮にそうならなかったとしたら、たとえばApache2.xだと標準のプロトコルフィルタが悪い方に作用してサーバ側が痛い目にあいそうな予感。
Re:目的? (スコア:0)
>
> とかやって、攻撃側のディスクを溢れさすという対処は、法律的には許され
> る反撃だろうか?
反撃もなにも転送量が増えすぎて自爆するだけだろ?
乱数のプールが枯渇しちゃいますが・・・ (スコア:0)
このデバイスからの読み出しが出来なくなると思います。
/dev/urandom とか /dev/null とかならそういう心配は
ないんですけどね。
最後は、「httpd の反応が完全になくなる」と・・・
# 自分で自分の首をしめているだけ
Re:目的? (スコア:0)
http://....../1.jpg
がターゲットになってますね.
だからといって犯人の目的はよく分からないのは変わらないですね.
Re:目的? (スコア:0)
Re:目的? (スコア:0)
誰でも簡単に派生ウイルスが作れてしまう状態なので、
debian.or.jpや神戸大に恨みがある日本人がやった可能性も
結構ありそうです。
Bagle亜種がソースコード付きで拡散 [mycom.co.jp]
で、何に使ってたの? (スコア:0)
packages.debian.or.jpってあまり記憶に無いんですが、何に使用されてたサブドメインなんでしょうか?
最近debianは使ってないのでACで。
Re:で、何に使ってたの? (スコア:1, 参考になる)
それはそうとって事であまり影響無さそう。
Re:で、何に使ってたの? (スコア:0, 余計なもの)
Debian ユーザじゃないんだけど、なんのパッケージ(ライブラリ)か分からないときに
日本語の説明があって便利なんで。
あと、どこで配布してるのか分からないときは FreeBSD の Ports をあたります(^^;
整理されてるので、とてもよくってw
ある一定以上の規模のサイト・・という条件は付きます (スコア:0, 興味深い)
すでにリスクヘッジの観点からすると、このような方法『しか』ではなく、バックアップ用ドメイン?は、あらかじめ準備しておくべき・・なんでしょうね。