新型ワーム? ネットワーク全体で遅延発生中 335
NOCの戦士達にエールを 部門より
kammy 曰く、 "ふと自宅のルータのアクセスログを見ていたら14:30位からUDPポート1434番(Microsoft SQL Monitor)に大量のアクセスが発生しているのを見つけました。気のせいかネットも重く感じます(17:30現在)。「韓国、ネットが全面まひ」と関係があるのでしょうか?続報を待ちましょう。"
yaizawa 曰く、 "現在MSのSQLをターゲットにしたwormが広まっている模様です。udp/1434を使っている模様なのでルータで落とすのがとりあえずの予防でしょうが、この穴のセキュリティ勧告が出たのが去年の7月だとか。"
起きて(ドイツ時間)、メールチェックをしようと思ったが、学術ネットワークの入口で50%強のパケットロス。タレコミをチェックすると複数の体験談がタレコまれていた。BugtraqやNANOGへの投稿をみると、MS-SQLを狙ったワームが元凶なのはかなり確実と見ていいだろう。帯域限界までとにかくパケットを吐き続けけるみたいで、パケットを落す設定をした結果、回線は空いたがルータが過負荷で不安定になった、というケースが多いらしい。また、未確認ながらランダムに他のポートも狙う様だ。事態の鎮静化と解剖結果が待ち遠しい。
Update: 01/25 13:08 GMT by O:ネットはあいかわらず渋滞状態だが、とりあえず、穴を持っているホストはひととおり感染したみたいだ。同時に問題のワームの解剖と解析が進んでいる。それによると、UDPパケット1個に収まる376バイトのペイロードで感染し、自分をランダムな相手に送りまくる。パケット1個というコンパクトさと感染行動がタイトなループなことにより、帯域を潰せるみたいだ。また、ファイルに感染したり、痕跡は残さないのでリブートすると消えるが、とうぜん上記のセキュリティホールは残ったままなのですぐまた感染してしまう。すぐに亜種が出てくるだろうから、サービスパックやパッチはちゃんと当てましょう。意図的か偶然か、1月24日はこのセキュリティホールの発見からちょうど半年たった日だ。
おいおい (スコア:5, おもしろおかしい)
Dear Uncle Bill (スコア:3, おもしろおかしい)
まとめ (スコア:3, 参考になる)
呼称のまとめ (スコア:3, 参考になる)
毎度のことですが、会社毎に呼称が違うようです。(自分が)混乱しないうちにまとめておきます。
Sybaseは?(オフトピ) (スコア:2, 参考になる)
# xp_cmdshell を筆頭にヤバそうなのが…
両者がTCP/IPの同じポートを使っていた気がしたので、手元の資料で調べてみました。
結果、デフォルトのポートは1434番ではないみたいで。良かった良かった(?)。
# 使用ポートはサーバの interfaces ファイル(UNIX版)次第です
バージョン 11.5 以前は同じポートかもしれないので、一応ご確認を。
韓国政府は「週明け27日が最大の山場」と呼びかけ (スコア:2, 興味深い)
とのこと。
まあ韓国は今回酷い被害にあったので当然と言えば当然の発言でしょうが、「報告は受けていない」 [srad.jp]「ルートサーバーに被害はなかった」などと発表してるどっかの国の政府の方も、もう少しマシな事を言ってもらえないものでしょうか…(笑えない)
我が家の状況 (スコア:1)
15回ほど届いています。同じホストではなく、ヨーロッパ方面のドメイン名でばらばらでした。
一時期1434宛のパケットが増えた時期があってこの頃は静かになっていたんですが、また増えそうな予感。
Re:我が家の状況 (スコア:2, 参考になる)
http://www.nanog.org/
でも一番の話題です
MLのarchiveはコチラ
http://www.merit.edu/mail.archives/nanog/
下を見る限り、急激にトラフィックが上がってますね
http://mrtg.nac.net/switch9.oct.nac.net/3865/switch9.oct.nac.net-3865.html
韓国のもこれで絶えられなくなって落ちたのかなぁ
Re:我が家の状況 (スコア:1)
Re:我が家の状況 (スコア:1)
全部 異なる IP からのアクセスでした。
IP アドレスから、どこの国からの攻撃かを割り出すと、
US 92回(46.94%)、CN 27回(13.78%)、KR 12回(6.12%)、
以下、DE 10回、CA と CZ が 7回、TW が 6回、
CH、JP、UK が 3 回です。
こういう攻撃がある場合 韓国からのアッタクがもっとあるものだけれど、
むこうのネットワークが大混乱なせいか普段より少なめですね。
コンタミは発見の母
Re:我が家の状況 (スコア:1)
ウチのルータショボいから、ルータの上流でカットしたいんだけどなぁ……。
TVでも (スコア:1)
ところで、一般人向け報道では、どういう原因説明がされるのでしょう?
1. ウイルスによるインターネット麻痺
→ウイルスけしからん。規制強化だ─!!!
2. マイクロソフトの製品の不具合が原因で、、、
→アメリカ政府から外務省に苦情が入る
→自粛強化
3. 管理されずに放置されていたサーバにウイルスが、、
→でも、サーバ管理者の待遇は変らない。
Re:TVでも (スコア:1)
→→結果責任を問われてサーバ管理者の査定が下がる。
Re:TVでも (スコア:1)
→上の方々が責任をとって…
こうなってくれれば多少は…
Re:TVでも (スコア:4, すばらしい洞察)
現場のみなさん、業務のやり取りをちゃんと全て書類に残してありますか?
ん? (スコア:1)
rejectのログ見ても、ピーク時(昨年後半)の7割くらいなんだけど。
うちのサイトがあれなんかいな?
久しぶり (スコア:1)
広い範囲でネットワークを麻痺させるようなwormは。
例によって,例のごとくMS製品が標的というですが。
life is too short to hate each other.
Re:久しぶり (スコア:2, 興味深い)
>広い範囲でネットワークを麻痺させるようなwormは。
いやー。大変ですね。
住基ネットのシステムってMS SQL Serverじゃないんかなー。
Nimdaの時はIISからApacheへの移行だが、
今回は、SQL ServerからOracleへの移行なのかな...
# Microsoft Not Need
PCにECC Registeredメモリの利用を推奨します。
・・・・不必要なポートをふさがないのはなぜ? (スコア:1)
IISをターゲットとした、CodeRedとかならともかくなんでこんなにはやるんでしょう?
とりあず、外部に公開する必要のないサービスはふさいで起きましょうよ。ほかの人にも迷惑かけちゃうんだから・・。
Re:・・・・不必要なポートをふさがないのはなぜ? (スコア:2, 参考になる)
確かこの欠陥が見つかった時も, SQLサーバを外部にさらすような使い方をすることはほとんど無いはずだから, 欠陥としては深刻だけど影響は少ないはずという論調があって, 私自身もその意見に同意していました.
でも結果は... 教訓!!バカはなめちゃいけない.
Re:・・・・不必要なポートをふさがないのはなぜ? (スコア:1)
デフォルトでサービスをふさぐ方が安全なんでしょうが、ふさぐと今度は××が動かんぞー、と騒ぐ奴が山のようにでるんだろうな。逆に踏台にされているユーザは知らないだけに文句は言わない。なんか安全側にスイッチを倒してくれる望みは薄い気がするなぁ。
の
無料でくばったり (スコア:2, 興味深い)
向上の一環として製品の無料配布をやめるとかになったりして。
わらしはMSの競合会社につとめてるものですが、W2kとかSQL鯖とか
突然、自宅に送ってこられたりしたことがあります。ありがたく
つかわせてもらってますが(制限の範囲内でって意味ですよ)。
life is too short to hate each other.
Re:・・・・不必要なポートをふさがないのはなぜ? (スコア:1)
DTS(Data Transformation Service) [microsoft.com] でインターネット越しにデータを授受する、ってのはどうでしょう?
・本社-営業所間のデータ同期
・自社-取引会社間でのデータ同期
・ウェアハウスへのデータロード(普通はLAN内で行うものでしょうが…)
等、結構便利です。前提条件として、データ送信元/先の両者が直接接続できる必要があったと思います。
DTSを利用するにしても、VPN越しに行うのが普通だと思いますが。
他では、インターネット越しに取引会社のOracle等をマウントして(ゲフンゲフン)、というのもアリかもしれません。
最近 SQL*Server では遊んでないので間違いがあるかもしれません。鵜呑みにしないでくださいね。
MSのライセンス認証死んでます (スコア:1)
これだから役人は (スコア:1, 興味深い)
韓国のネットマヒで「日本では報告なし」 総務省
[asahi.com]
だってさ。
Re:これだから役人は (スコア:2, 興味深い)
>緊急対応支援チーム)
>第4条
>3 緊急対応支援チームに所属する室員は、各省庁等の情報シス
> テムに対する不正なアクセス等により国民生活や社会経済活動
> に重大な影響を与えるおそれがある場合における各省庁等の情
> 報セキュリティ対策に関する技術的な調査及び助言その他特に
> 命ぜられた事務に従事する。
これ読むと名前とは違って原因が特定できてない現時点では出番なしみたいですね。
よくわかりもしない役人にわけがわかんない説明をされて、IT系の株価が動いちゃったりするのはパスなので、現状で出てないのは、どっちかってっと幸いな事:w
それより、調査結果を技術的レポートしてくれたら文句いわん。<出るのかどうかが疑問だが;p
ところで建設的な教えて君。
近頃、情報が早いセキュリティー勧告をしてくれる日本のサイトってどこかありますか?
俺が読むんじゃなくて他人に回すのでできれば日本語が…
#英語だと困らないけど、それじゃ後輩に仕事を分担できない…。
IPA (スコア:2)
なんてあるけど、誰も報告しないよね、それと同じでは。
私の管理下のネットワークでは一応、ウィルス/ワーム以外にも
毎日ルータログのリジェクト記録送りつけてます。
一応参考情報って事で、対処は何も求めてませんが(笑)。
産経のミスリード記事? (スコア:1, すばらしい洞察)
とりあえず、韓国ではそう報道されている、ってだけの話。他国と比較してどうとか、他国ではどうとか、一切書かれてないし。もしかしたら韓国だけがそういう状況なのかもしれないし、そうでないかもしれない。
いや、産経の記事がミスリードを誘うような書き方をしてるというのなら、それはそうかもしれないけど。
戦争にでもなったら (スコア:2, 参考になる)
戦争/災害に強いインターネットも、韓国国内の分は北朝鮮が攻撃してきたら一撃?
#根本的に、何か間違ってるような・・・。一般向けだからいいの?
Re:言ったのもん勝ち(サイバーテロ) (スコア:1, おもしろおかしい)
#さすがにAC
ルータの中 (スコア:4, おもしろおかしい)
きれいなおねーさんがいっぱい入っています。
リップサービスしていますから...
PCにECC Registeredメモリの利用を推奨します。
Re:ルータの中 (スコア:2, おもしろおかしい)
このおねえさん、いろんなスクリプトで口説いても、
なかなか落ちないですよね。
けど、ちょっとしたことで落ちるんでたまにびっくりします。
#それに他の方とちがって、付き合うのにお金かかるし。
おねぇさんとの交際費 (スコア:2, おもしろおかしい)
新しいIOSに住みたいの、メモリ買って...
私、大きめだから、Flash増やして。
と、数年で売られる身に...
そして暑いサウナから、男の部屋で同棲生活。
PCにECC Registeredメモリの利用を推奨します。
Re:ルータの中 (スコア:2, おもしろおかしい)
(+1 座布団一枚)
と
(-1 無粋)
が欲しいかな~っと言ってみるテスト
きっと某所では (スコア:1, おもしろおかしい)
Re:なぜかハブも (スコア:2, 参考になる)
スイッチは落ちるんじゃないかな。
部屋の小型スイッチ5portも時々死んでいるし。
アライドのハブ12portは、なかなか死なないですね。
PCにECC Registeredメモリの利用を推奨します。
Re:DELLも (スコア:1)
死んでいますね。
サーバなのか、上流回線のルータなのか...
来月からPowerEdgeがPoorEdgeにならない事を祈る。
PCにECC Registeredメモリの利用を推奨します。
Re:数時間止まっただけ? (スコア:2, 興味深い)
DELLのビジネスモデル上、とんでもない損害になっていると思うが。
Re:どうなるんですか? (スコア:2, 参考になる)
[MS02-039] SQL Server 2000 解決サービスのバッファ オーバーランの脆弱性 [microsoft.com]
# もし間違っていたら、フォローをお願いします
I'm out of my mind, but feel free to leave a comment.
Re:どうなるんですか? (スコア:3, 参考になる)
SecurityFocus [securityfocus.com] で、四苦八苦した方がいらっしゃる見たいですが、
-- 適当な訳 --
MSDE 2000 SP3 がない!
でも SP2 + hotfix で ok らしい。
が MS のサイトから落した SP2 はエラーを出した。
SP2 は CD から install しなきゃだめみたい。
このパッチが全てのネットワーク上の Windows に
入ったら攻撃が止まると思います。
それまでは 1434 をブロックしてしのぎますか。
だれかウィルス解析して私達に連絡してくれー
-- 適当な訳 --
って、書いてません?
間違ってたら、修正よろしく。
# SP2 を CD で持ってないサイトはどうしたら良いのだろう?
Re:どうなるんですか? (スコア:2, 参考になる)
さらに感染を広げるために帯域いっぱいのUDPパケットを送信するそうです。
メモリ上にしか感染しないので、リブートすれば消えるそうです。
関係ないサーバにとっては、いまだになくならないCordRedやNimdaの攻撃と
どっちが深刻かといえば、Nimdaらの攻撃のほうが邪魔くさいですが、
今回のワームに感染したサーバが少数でもネットワーク内にあれば、
そのネットワークの管理者は今日は大変だったでしょうね。
#世界中で一斉にSQL Serverなマシンをリブートすれば消える?
Re:どうなるんですか? (スコア:2, 参考になる)
http サーバを攻撃する worm はもちろん tcp ですんで、帯域いっぱいといっても、最大コネクション数くらいは管理している模様っす。(Nimda で600くらいでしたっけ?)
udp だけに、投げ放題、てのが。
みんつ
Re:どうなるんですか? (スコア:1, 参考になる)
http://www.kotaete-net.net/
のほうが良いか、と・・・
Re:とりあえず (スコア:1)
「インターネットに接続できませんでした。」
って。
-- LightSpeed-J
Re:とりあえず (スコア:1)
今はメールもOKですし、ソフトウェア・アップデートからiTunesのアップデートは無事終了しました。
でもADSLで.macなことやってると、こんなのよくある話だったりして。
Re:シークェルって? (スコア:2, 参考になる)
>>「SQL(シークェル)サーバー2000」を
>「シークェル」って読むんですか、これ?
SQLの歴史 [techscore.com]と関係があります。
最初、Structured English Query Languageの意味で、
SEQUEL(シークェル)と記述していましたがが、別の商標が既にあり、
SQL(English は省かれた)に変更されました。
そのなごりで、今でもアメリカ人や昔の技術者はシークェルと言う人がいますね。
Re:マスコミに期待! (スコア:2, 参考になる)
そのことに意識を持たない層をターゲットにしている製品の場合、インストールしたPCを直接インターネットに接続してしまうことも多いのではないでしょうか。
また、SQL*Server のパッチを適用する必要性に気づくユーザが少なそうです。
MSDE を利用した製品としては日本国内では上記 勘定奉行 が非常にメジャーでインストール件数も多いですが、諸外国ではどうなんでしょうか?
馬鹿はだいたいケチだったりもする (スコア:2)
やってる(経理も銀行も印刷も残業エロゲも)なんて会社に対して、
PC増設の提案もできない私に向かってタコと言っているようなものでしょうか?(笑)
「そこを一台で何でもやれるようにするのがプロでしょ?」
と客先のおばちゃん専務(社長の奥さん)に罵倒され、
挙句帰った後には社長に電話されるのがオチだったりするんだよねぇ。(泣)
ありますが、条件付 (スコア:4, 参考になる)
今のところメモリに巣くうだけのようですので、
patch 適用後に再起動すれば、問題ないようです。
が、過去の worm の進化から、いずれどこかに巣くうでしょう。
早めの対策が必要です。
# 攻撃用コードは、公開されていますし。
ちなみに MSDE はご利用ではないですよね?
これも、対象です。
皆さん、加害者になる前に対策を。
P.S.
多くの人に見てほしいので +1 ボーナス使ってます。
その手があったか! (スコア:2, おもしろおかしい)
昨日ついに量産試作品が最終テストまで通り、無事量産を
開始出来るメドがたちました。
しかし困った事に設計データを公開する為にホスティング会社の
サーバーにアップしたのですが、運悪くその時に SQL Server を
狙うワームのおかげでデータが全て消えてしまいました。
アップ完了と同時に手元のファイルも全て消去してしまったので
3年かけた設計データが全て吹き飛んでしまった事になります。
このままこのプロジェクトの灯が消えてしまう事のないよう、
早速今日から再設計をはじめます。ただ再設計にはおおそよ
3年程かかるものと思われます。そこで開発工数を捻出する為に
予約者1人当たり再度8万円を指定口座に振り込んで頂くよう
よろしくお願い申し上げます。消費税分の額が入っていないのは
完成した時の消費税率が今の時点でわからないためであり、
決してその額を値引きしているわけではありません。商品引渡し
の際にはその額を支払って頂きます。
なお今回の件はあくまで Microsoft の SQL Server の問題であり
私の技術的な問題はないと思われます。
ご連絡先