NOCの戦士達にエールを部門より。
kammy 曰く、 "ふと自宅のルータのアクセスログを見ていたら14:30位からUDPポート1434番(Microsoft SQL Monitor)に大量のアクセスが発生しているのを見つけました。気のせいかネットも重く感じます(17:30現在)。「韓国、ネットが全面まひ」と関係があるのでしょうか?続報を待ちましょう。"
yaizawa 曰く、 "現在MSのSQLをターゲットにしたwormが広まっている模様です。udp/1434を使っている模様なのでルータで落とすのがとりあえずの予防でしょうが、この穴のセキュリティ勧告が出たのが去年の7月だとか。"
起きて(ドイツ時間)、メールチェックをしようと思ったが、学術ネットワークの入口で50%強のパケットロス。タレコミをチェックすると複数の体験談がタレコまれていた。BugtraqやNANOGへの投稿をみると、MS-SQLを狙ったワームが元凶なのはかなり確実と見ていいだろう。帯域限界までとにかくパケットを吐き続けけるみたいで、パケットを落す設定をした結果、回線は空いたがルータが過負荷で不安定になった、というケースが多いらしい。また、未確認ながらランダムに他のポートも狙う様だ。事態の鎮静化と解剖結果が待ち遠しい。
Update: 01/25 13:08 GMT by O:ネットはあいかわらず渋滞状態だが、とりあえず、穴を持っているホストはひととおり感染したみたいだ。同時に問題のワームの解剖と解析が進んでいる。それによると、UDPパケット1個に収まる376バイトのペイロードで感染し、自分をランダムな相手に送りまくる。パケット1個というコンパクトさと感染行動がタイトなループなことにより、帯域を潰せるみたいだ。また、ファイルに感染したり、痕跡は残さないのでリブートすると消えるが、とうぜん上記のセキュリティホールは残ったままなのですぐまた感染してしまう。すぐに亜種が出てくるだろうから、サービスパックやパッチはちゃんと当てましょう。意図的か偶然か、1月24日はこのセキュリティホールの発見からちょうど半年たった日だ。
|
|
おいおい (スコア:5, おもしろおかしい)
Dear Uncle Bill (スコア:3, おもしろおかしい)
まとめ (スコア:3, 参考になる)
呼称のまとめ (スコア:3, 参考になる)
毎度のことですが、会社毎に呼称が違うようです。(自分が)混乱しないうちにまとめておきます。
Sybaseは?(オフトピ) (スコア:2, 参考になる)
# xp_cmdshell を筆頭にヤバそうなのが…
両者がTCP/IPの同じポートを使っていた気がしたので、手元の資料で調べてみました。
結果、デフォルトのポートは1434番ではないみたいで。良かった良かった(?)。
# 使用ポートはサーバの interfaces ファイル(UNIX版)次第です
バージョン 11.5 以前は同じポートかもしれないので、一応ご確認を。
韓国政府は「週明け27日が最大の山場」と呼びかけ (スコア:2, 興味深い)
とのこと。
まあ韓国は今回酷い被害にあったので当然と言えば当然の発言でしょうが、「報告は受けていない」 [slashdot.jp]「ルートサーバーに被害はなかった」などと発表してるどっかの国の政府の方も、もう少しマシな事を言ってもらえないものでしょうか…(笑えない)
「Save the下北沢」勝手に賛同中ですよ [stsk.net]
我が家の状況 (スコア:1)
15回ほど届いています。同じホストではなく、ヨーロッパ方面のドメイン名でばらばらでした。
一時期1434宛のパケットが増えた時期があってこの頃は静かになっていたんですが、また増えそうな予感。
Re:我が家の状況 (スコア:2, 参考になる)
http://www.nanog.org/
でも一番の話題です
MLのarchiveはコチラ
http://www.merit.edu/mail.archives/nanog/
下を見る限り、急激にトラフィックが上がってますね
http://mrtg.nac.net/switch9.oct.nac.net/3865/switch9.oct.nac.net-3865.html
韓国のもこれで絶えられなくなって落ちたのかなぁ
親コメント
TVでも (スコア:1)
ところで、一般人向け報道では、どういう原因説明がされるのでしょう?
1. ウイルスによるインターネット麻痺
→ウイルスけしからん。規制強化だ─!!!
2. マイクロソフトの製品の不具合が原因で、、、
→アメリカ政府から外務省に苦情が入る
→自粛強化
3. 管理されずに放置されていたサーバにウイルスが、、
→でも、サーバ管理者の待遇は変らない。
Re:TVでも (スコア:4, すばらしい洞察)
現場のみなさん、業務のやり取りをちゃんと全て書類に残してありますか?
親コメント
ん? (スコア:1)
rejectのログ見ても、ピーク時(昨年後半)の7割くらいなんだけど。
うちのサイトがあれなんかいな?
久しぶり (スコア:1)
広い範囲でネットワークを麻痺させるようなwormは。
例によって,例のごとくMS製品が標的というですが。
life is too short to hate each other.
Re:久しぶり (スコア:2, 興味深い)
>広い範囲でネットワークを麻痺させるようなwormは。
いやー。大変ですね。
住基ネットのシステムってMS SQL Serverじゃないんかなー。
Nimdaの時はIISからApacheへの移行だが、
今回は、SQL ServerからOracleへの移行なのかな...
# Microsoft Not Need
PCにECC Registeredメモリの利用を推奨します。
親コメント
・・・・不必要なポートをふさがないのはなぜ? (スコア:1)
IISをターゲットとした、CodeRedとかならともかくなんでこんなにはやるんでしょう?
とりあず、外部に公開する必要のないサービスはふさいで起きましょうよ。ほかの人にも迷惑かけちゃうんだから・・。
Re:・・・・不必要なポートをふさがないのはなぜ? (スコア:2, 参考になる)
確かこの欠陥が見つかった時も, SQLサーバを外部にさらすような使い方をすることはほとんど無いはずだから, 欠陥としては深刻だけど影響は少ないはずという論調があって, 私自身もその意見に同意していました.
でも結果は... 教訓!!バカはなめちゃいけない.
親コメント
無料でくばったり (スコア:2, 興味深い)
向上の一環として製品の無料配布をやめるとかになったりして。
わらしはMSの競合会社につとめてるものですが、W2kとかSQL鯖とか
突然、自宅に送ってこられたりしたことがあります。ありがたく
つかわせてもらってますが(制限の範囲内でって意味ですよ)。
life is too short to hate each other.
親コメント
MSのライセンス認証死んでます (スコア:1)
これだから役人は (スコア:1, 興味深い)
韓国のネットマヒで「日本では報告なし」 総務省
[asahi.com]
だってさ。
IPA (スコア:2)
なんてあるけど、誰も報告しないよね、それと同じでは。
私の管理下のネットワークでは一応、ウィルス/ワーム以外にも
毎日ルータログのリジェクト記録送りつけてます。
一応参考情報って事で、対処は何も求めてませんが(笑)。
親コメント
Re:これだから役人は (スコア:2, 興味深い)
>緊急対応支援チーム)
>第4条
>3 緊急対応支援チームに所属する室員は、各省庁等の情報シス
> テムに対する不正なアクセス等により国民生活や社会経済活動
> に重大な影響を与えるおそれがある場合における各省庁等の情
> 報セキュリティ対策に関する技術的な調査及び助言その他特に
> 命ぜられた事務に従事する。
これ読むと名前とは違って原因が特定できてない現時点では出番なしみたいですね。
よくわかりもしない役人にわけがわかんない説明をされて、IT系の株価が動いちゃったりするのはパスなので、現状で出てないのは、どっちかってっと幸いな事:w
それより、調査結果を技術的レポートしてくれたら文句いわん。<出るのかどうかが疑問だが;p
ところで建設的な教えて君。
近頃、情報が早いセキュリティー勧告をしてくれる日本のサイトってどこかありますか?
俺が読むんじゃなくて他人に回すのでできれば日本語が…
#英語だと困らないけど、それじゃ後輩に仕事を分担できない…。
親コメント
今日と明日はお休み (スコア:1)
パケットを垂れ流しているとして、
その対策は月曜日になるのだろうか?
これだけ騒げばさすがにすぐ対策に乗り出すのかなあ。
これのせいなのかどうかわかりませんが、
某ac.jpにアクセスできなくなって困っています
勘違い (スコア:1, おもしろおかしい)
また火事になったのかと思ってました。
で、対策はどうなんだ? (スコア:1, 興味深い)
シマンテックのコメントしてMSのデータベース管理ソフトの欠陥と言っている。
OSを変える企業も増えそうだ。
10ヶ月と10日後には (スコア:1, おもしろおかしい)
チャンスです (スコア:1, おもしろおかしい)
ネットワークのトラブルは全部これのせいにしちゃいましょう(笑)
その手があったか! (スコア:2, おもしろおかしい)
昨日ついに量産試作品が最終テストまで通り、無事量産を
開始出来るメドがたちました。
しかし困った事に設計データを公開する為にホスティング会社の
サーバーにアップしたのですが、運悪くその時に SQL Server を
狙うワームのおかげでデータが全て消えてしまいました。
アップ完了と同時に手元のファイルも全て消去してしまったので
3年かけた設計データが全て吹き飛んでしまった事になります。
このままこのプロジェクトの灯が消えてしまう事のないよう、
早速今日から再設計をはじめます。ただ再設計にはおおそよ
3年程かかるものと思われます。そこで開発工数を捻出する為に
予約者1人当たり再度8万円を指定口座に振り込んで頂くよう
よろしくお願い申し上げます。消費税分の額が入っていないのは
完成した時の消費税率が今の時点でわからないためであり、
決してその額を値引きしているわけではありません。商品引渡し
の際にはその額を支払って頂きます。
なお今回の件はあくまで Microsoft の SQL Server の問題であり
私の技術的な問題はないと思われます。
ご連絡先
親コメント
長い夜でした・・・ (スコア:1)
上から下から来るわ来るわ。
・・・下?
普段から思ってることですが、
SIerという名の 詐欺師 がいかに多いかと言う事を改めて思い知りました。
「何か、忘れてる気がするんだよなあ……」
カートチーム「風来旅団」 [fuurai.org]
まだ慌ててるのか? - Microsoft (スコア:1)
SQLServer のHP [microsoft.com]にアクセスすると、
こんなんになってしまいます。
Microsoft VBScript compilation error 800a0401
Expected end of statement
/sql/default.asp, line 38
Customer Update on the Slammer Virus Attack
Bank of America ATMs Disrupted by Virus (スコア:1, 興味深い)
丁度良い時期に起こされた (スコア:1)
スパシーボ
日本で被害が少なかったのは (スコア:1)
道案内サーバー(DNS) (スコア:1)
2台が機能不全になったためとみられている。 [asahi.com]
だそうで。 定着したらやだな。こんな名前。
やはり今日もおきてるらしい (スコア:1)
パッチをあててない(もしくはあてきれてない)SQLサーバが動いたためだそうですが、あてにくいものなのでしょうか。
まぁ、(SP3以前との)互換性や、パッチ適用が難しいとかあるのでしょうけど、私自身MS SQLサーバをさわる機会がないため勝手に想像する程度しかできません。実際にあてた経験のある方のご意見を聞いてみたいところです。
-- やさいはけんこうにいちば〜ん!
産経のミスリード記事? (スコア:1, すばらしい洞察)
とりあえず、韓国ではそう報道されている、ってだけの話。他国と比較してどうとか、他国ではどうとか、一切書かれてないし。もしかしたら韓国だけがそういう状況なのかもしれないし、そうでないかもしれない。
いや、産経の記事がミスリードを誘うような書き方をしてるというのなら、それはそうかもしれないけど。
親コメント
戦争にでもなったら (スコア:2, 参考になる)
戦争/災害に強いインターネットも、韓国国内の分は北朝鮮が攻撃してきたら一撃?
#根本的に、何か間違ってるような・・・。一般向けだからいいの?
親コメント
ルータの中 (スコア:4, おもしろおかしい)
きれいなおねーさんがいっぱい入っています。
リップサービスしていますから...
PCにECC Registeredメモリの利用を推奨します。
親コメント
Re:ルータの中 (スコア:2, おもしろおかしい)
このおねえさん、いろんなスクリプトで口説いても、
なかなか落ちないですよね。
けど、ちょっとしたことで落ちるんでたまにびっくりします。
#それに他の方とちがって、付き合うのにお金かかるし。
親コメント
おねぇさんとの交際費 (スコア:2, おもしろおかしい)
新しいIOSに住みたいの、メモリ買って...
私、大きめだから、Flash増やして。
と、数年で売られる身に...
そして暑いサウナから、男の部屋で同棲生活。
PCにECC Registeredメモリの利用を推奨します。
親コメント
Re:ルータの中 (スコア:2, おもしろおかしい)
(+1 座布団一枚)
と
(-1 無粋)
が欲しいかな~っと言ってみるテスト
親コメント
Re:なぜかハブも (スコア:2, 参考になる)
スイッチは落ちるんじゃないかな。
部屋の小型スイッチ5portも時々死んでいるし。
アライドのハブ12portは、なかなか死なないですね。
PCにECC Registeredメモリの利用を推奨します。
親コメント
Re:DELLも (スコア:1)
死んでいますね。
サーバなのか、上流回線のルータなのか...
来月からPowerEdgeがPoorEdgeにならない事を祈る。
PCにECC Registeredメモリの利用を推奨します。
親コメント
Re:どうなるんですか? (スコア:1, 参考になる)
http://www.kotaete-net.net/
のほうが良いか、と・・・
親コメント
Re:言ったのもん勝ち(サイバーテロ) (スコア:1, おもしろおかしい)
#さすがにAC
親コメント
Re:とりあえず (スコア:1)
「インターネットに接続できませんでした。」
って。
-- LightSpeed-J
親コメント
きっと某所では (スコア:1, おもしろおかしい)
親コメント
Re:どうなるんですか? (スコア:2, 参考になる)
[MS02-039] SQL Server 2000 解決サービスのバッファ オーバーランの脆弱性 [microsoft.com]
# もし間違っていたら、フォローをお願いします
I'm out of my mind, but feel free to leave a comment.
親コメント
Re:どうなるんですか? (スコア:3, 参考になる)
SecurityFocus [securityfocus.com] で、四苦八苦した方がいらっしゃる見たいですが、
-- 適当な訳 --
MSDE 2000 SP3 がない!
でも SP2 + hotfix で ok らしい。
が MS のサイトから落した SP2 はエラーを出した。
SP2 は CD から install しなきゃだめみたい。
このパッチが全てのネットワーク上の Windows に
入ったら攻撃が止まると思います。
それまでは 1434 をブロックしてしのぎますか。
だれかウィルス解析して私達に連絡してくれー
-- 適当な訳 --
って、書いてません?
間違ってたら、修正よろしく。
# SP2 を CD で持ってないサイトはどうしたら良いのだろう?
親コメント
Re:マスコミに期待! (スコア:1, 興味深い)
死人がでるかどうか、だとおもう。
自動車は一歩間違えれば、大量殺人を引き起こす
可能性を満載しています。だから、1にも2にも信頼性
なわけですから、必ずフェイルセーフになってます。
ですが、インターネットが止まったのが直接的な原因で
死ぬ人はまずでないでしょう。
自動車メーカの人と話していて、MSに限らずIT業界に
かかわる我々はの意識は、セーフティというものの
考え方が甘いのではないかと思わせられます。
親コメント
Re:DELLならLinuxに換えてしまいましたが.. (スコア:1)
pingたたいて応答しません。
親コメント
Re:なぜかハブも (スコア:1)
TurboLinuxをインストール [turbolinux.co.jp]してませんでしたか?
親コメント
Re:警察の感知装置には異常は見つかっていない (スコア:1, 興味深い)
聞いてるんだよね。
「NTのログ、別のマシンにコピーしたら読めなくなっちゃった。どーして?」
とか。
#マジなのでAC。
親コメント
Re:どうなるんですか? (スコア:2, 参考になる)
さらに感染を広げるために帯域いっぱいのUDPパケットを送信するそうです。
メモリ上にしか感染しないので、リブートすれば消えるそうです。
関係ないサーバにとっては、いまだになくならないCordRedやNimdaの攻撃と
どっちが深刻かといえば、Nimdaらの攻撃のほうが邪魔くさいですが、
今回のワームに感染したサーバが少数でもネットワーク内にあれば、
そのネットワークの管理者は今日は大変だったでしょうね。
#世界中で一斉にSQL Serverなマシンをリブートすれば消える?
親コメント
Re:どうなるんですか? (スコア:2, 参考になる)
http サーバを攻撃する worm はもちろん tcp ですんで、帯域いっぱいといっても、最大コネクション数くらいは管理している模様っす。(Nimda で600くらいでしたっけ?)
udp だけに、投げ放題、てのが。
みんつ
親コメント
Re:警察の感知装置には異常は見つかっていない (スコア:1)
待機指示って、状況が悪くなったら警察が何かしてくれるんだろうかねぇ。
何か特殊な事をしてMS-SQL Serverに引導を渡してくれるとか。
〜◍
親コメント
Re:数時間止まっただけ? (スコア:2, 興味深い)
DELLのビジネスモデル上、とんでもない損害になっていると思うが。
親コメント
Re:当該記事の原文から (スコア:1)
> Dell Computer has switched 14 of its internal
> servers from Sun Microsystems machines
> to its own systems running Linux...
となっています。wintel から逃げた...というわけではなさげ。
# 夕暮れだなぁ。
親コメント
Re:カナダも一日ダメでした (スコア:1)
親コメント
Re:シークェルって? (スコア:1, 参考になる)
「結果」という意味の「sequel」に引っかけた読み方です。米国人の同僚もそう発音しています。
親コメント
Re:シークェルって? (スコア:2, 参考になる)
>>「SQL(シークェル)サーバー2000」を
>「シークェル」って読むんですか、これ?
SQLの歴史 [techscore.com]と関係があります。
最初、Structured English Query Languageの意味で、
SEQUEL(シークェル)と記述していましたがが、別の商標が既にあり、
SQL(English は省かれた)に変更されました。
そのなごりで、今でもアメリカ人や昔の技術者はシークェルと言う人がいますね。
親コメント
Re:マスコミに期待! (スコア:2, 参考になる)
そのことに意識を持たない層をターゲットにしている製品の場合、インストールしたPCを直接インターネットに接続してしまうことも多いのではないでしょうか。
また、SQL*Server のパッチを適用する必要性に気づくユーザが少なそうです。
MSDE を利用した製品としては日本国内では上記 勘定奉行 が非常にメジャーでインストール件数も多いですが、諸外国ではどうなんでしょうか?
親コメント
馬鹿はだいたいケチだったりもする (スコア:2)
やってる(経理も銀行も印刷も残業エロゲも)なんて会社に対して、
PC増設の提案もできない私に向かってタコと言っているようなものでしょうか?(笑)
「そこを一台で何でもやれるようにするのがプロでしょ?」
と客先のおばちゃん専務(社長の奥さん)に罵倒され、
挙句帰った後には社長に電話されるのがオチだったりするんだよねぇ。(泣)
親コメント
ありますが、条件付 (スコア:4, 参考になる)
今のところメモリに巣くうだけのようですので、
patch 適用後に再起動すれば、問題ないようです。
が、過去の worm の進化から、いずれどこかに巣くうでしょう。
早めの対策が必要です。
# 攻撃用コードは、公開されていますし。
ちなみに MSDE はご利用ではないですよね?
これも、対象です。
皆さん、加害者になる前に対策を。
P.S.
多くの人に見てほしいので +1 ボーナス使ってます。
親コメント
Re:どうなるんですか? (スコア:1)
いや、文章をきっちり読んでないだけだと思うよ。
親コメント
Re:終わったか? (スコア:1)
25日20時ごろは1分に2~3回探りにきてましたから、峠は越したって事なんでしょうかね。
親コメント
Re:終わったか? (スコア:1)
ニュース等でも大きく騒がれてますし、さすがに気づいて対策した人も多かったということ?あるいは、主要なネットワークでポート1434をドロップさせるように対策したからかも知れません。CodeRedと違って、ポートを塞げるところが幸いか。
そういえば、Microsoftセキュリティ情報としてMS02-039の適用を促すメールが送られてきました。
親コメント