Welcome to

Welcome to tokoo.net

Home

日々の更新
2003年  2月26日
 2月19日
 2月3日
2002年  12月5日
 4月17日
 2月20日
2001年  12月26日
 11月18日
 10月3日
 10月2日
 9月14日
 9月2日
 7月29日
 7月16日
 7月3日
 6月19日
 6月11日
    6月7日
    6月2日
    5月29日
    5月22日
    5月19日
    5月17日
    5月16日
System
Private

何かお気づきの点が
ございましたら
mitsuまで

 

 
ソルトレーク・トリビューン

2001年7月29日

ちまたで噂のCode Redワームがうちにも来襲してきた。なにせ向こうはIPアドレスめった打ちだから、うちのような無名サイトにも平等にアクセスしてくる。初来襲は7月20日の0:55:44。うちのApacheに対し

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090 %u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u 531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 26

という、何らかのバッファ・オーバーフローを狙ったアクセスをしてくる。もちろんApacheには関係ない。こんなもんで簡単にやられるのはIIS( Microsoft Internet Information Server)と相場が決まっている。

最近飽きてきたが、悪質なアクセスについては一応、下記の手順で調べることにしている(もっといい方法があったら情報下さい)。

Order 手法 機能
host
(Linuxコマンド)		 アクセスログにある相手のIPアドレスをName Serverで逆引きする(旧コマンドnslookup)。国内のプロバイダ経由のアクセスであれば、プロバイダ名まではわかることが多い。海外からのアクセスの場合はわからないことが多い。
2 whois IPアドレスの所有者を突き止める。海外のプロバイダや大学内からのアクセスなどはこれで一応わかる。管理者のメールアドレスもわかるが、それにメールを出してもあまり効果はない。ドメイン名を根拠にWebサーバーを探し出し、Webmasterにメールを出した方がいい。
3 netcraft IPアドレスの先でWebサーバーが動いているか確かめるのに使う(こういう奴はほとんどいないが)。ブラウザにIPアドレス入れればすむことかもしれないが、向こうにこちらの痕跡を残したくないし、netcraftに事前に登録があれば、DNS逆引きでは出て来ないホスト・ドメイン名を得られることもたまにある。
4 ブラウザ 相手先がWebサーバー動かしている場合は、やっぱ訪問したくなる。相手の素性がわからない場合は別途ダイヤルアップしてアクセス。でも電話代が惜しいので最近やらない。無防備なopen proxy使うという手もあるが、proxyの管理者が実は・・・という可能性もあるので、知っていてもやらない。

ちなみにサーバー情報の不正取得はChina系から最近よく来ており、これが今回のCode Redの張本人なのかもしれない。

Code Redを最初に発見したのは20日の1時すぎ。もちろん最初からCode Redなんてわからなかった(後でZDNET見て、はやっていることを知った)。IPアドレスを手がかりに調べたところ、上記2までの操作でジョージア工科大学の管理IPであることがわかった。また3の操作でIISが動いていることはわかったが、どんなサイコ野郎がPCをいじっているかわからないので、直接スキャンするのはやめ、ジョージア工科大学のWebmasterに文句のメールを書いた。内容は「お前の管理IP内で馬鹿なことをやっているPCがある。ASAPで対策立てないと、事実を公開するぞ」というもの。

ここまでやったところで夜中の2時を回ってしまった。再度ログを見ると、またある! 今度はソルトレーク・トリビューンという新聞社の管理IPらしい。そしてこれにもIISが動いている。とりあえずこの会社の表看板のWeb SiteのWebmasterに文句のメールを書く。内容は上記と同じだが、「~公開ずるぞ。」の後に「お前のところは出版社か?」と付記(02:33)。

最初のアクセスと内容が全く同じなのと、2回目の送信元が一応まっとうそうな会社だったので、勇気を持って2回目のIPアドレスにブラウザで直接アクセス。これはどうも新聞社の特定顧客のためのサービスWeb Siteのようだ。こういう裏のサーバーって、管理甘くなっちゃうんだよね。

おおっ。ソルトレーク・トリビューンのTS氏からメールの返信が来た(02:50)。 「このIPアドレスは確かに当社の管理下だが、何かの間違いじゃないか? 一応解析したいのだが君のログの日付が明日を差していてさっぱりわからん。 出版社・・・そうだよ。うちはユタ州最大の新聞社だ」。

メールの返信に喜びつつも、ちと怒りモード「うちは日本、JSTなの (+09:00って記録あるだろ)。とにかくベストを尽くしたまえ」と送信(03:00)。しばらく後、TSから返信(03:15)。「君の指摘通り、ハックされていた。連中は中国人らしい。ふざけたindex.htmlとバックドアを残していた。これらは全て取り除いた」。再度送信(03:25)「よくやった。おやすみ(こっちは日本だ)」。TSから最後の返信(03:37)「おやすみ。尤もサーバー管理者が眠れるというのなら」

実際寝ようと思ったのだが、アクセスログを見るとさっきよりさらに3個増えている。待てよ、TSはIISのセキュリティホールからハックされたとあったな。ということは・・・増えた3個どれにもIISが動いていた。これら5つのサイトは全て中国人(の悪口言うなよ!友達いるんだから)に乗っとられていたというわけか。

そして、とりあえず寝た。

翌日、最初のアクセスをしてきたジョージア工科大学のIPにブラウザで直接アクセスしてみた。サイコ野郎ではなく、無害な同人グループがWebを運営しているだけだった。ここにも文句のメールを送信。「馬鹿なIISなんかで運営するな!」のコメントを追加。深夜そこから陳謝の返信が来る。P.S.が泣ける。「ミスター、君の言うとおりIISは確かに馬鹿だ。だが私はこのサーバーの管理者とはいえ、ただのパートタイムでおまけにIISはノービスなんだ」。力が抜ける。

ちなみにcode redに感染したと思われるIISサーバーからの来訪は、28個に達した。上記を含め3箇所にメールを書き、それぞれ修正したと思われるが、残りの25個は知らん。また来月ホワイトハウスを襲おうとするのだろうか。まぁMicrosoftがやるべき仕事だろう。