ホストへの攻撃は、IIS がターゲットらしいのでうちは無傷。
http-access に残っている Query String には バッファオーバーフローが目的と思われる、NNN...(一杯)といった文字があるが、 最近は XXX...(一杯) も増えて来ている。 N が旧型、X が新型だけど、N や X 以外の文字列は全く同一。
そこで試しに、Query String 中に含まれる Unicode のエンディアンを逆さにして、 386asm で逆アセンブルすると、怪しいコードが出て来た。

※ 一部を抜粋 → %u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078
90                nop
81C300030000      add ebx,0x300
8B1B              mov ebx,[ebx]
53                push ebx
FF5378            call near [ebx+0x78]

多分、CGI の入力で受け取ったデータを、実行コードとして呼び出して いるんじゃないかと思う。
某ML の記事によると、Nタイプと Xタイプは、 攻撃コードになる CGI 入力のデータが異なっているらしい。 又、パケットに cmd.exe や root.exe の文字列が入っているという事なので、 CGI 入力のコードは、system でシェルを呼んでいると推測される。 一体、何をしているのやら...
tcpdump でキャプチャーしたデータには CloseHandle という文字も見えたけど、 これは謎。(なんで、ASCII 文字で入ってるんだろう...)

ライオンキングで味をしめたんだろうね。恥知らずというか何というか...
僕は東京ディズニーランドにパラパラが導入された時点、 ディズニーその物も大嫌いになったけど、 ダメ企業という事を再度確認した気分。
あ。元々、文化の無い国の企業としては、当然の行動なのか。(w

echo あなたのサーバはクラックされていませんか？ | nkf -Es > $HTTP_DOCUMENT_ROOT/default.ida

本当は、「ばっかが見る〜。ぶったのけつ〜。」って入れたかったけど、 無用なトラブルを避ける為、おとなしい文章に。(;_+ ヨワヨワ
早速、引っかかりましたね...

 www.melmo.ne.jp - - [05/Aug/2001:15:45:26 +0900] "GET /default.ida?XXXXXXXXX
 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858
 %ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090
 %u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 200 43
                                                              これ ~~~ 

さて、あちらさんは成功したと思っているのだろうか。 しばらく、このままにしておこう。

▼生データ:

▼allnet 内部から攻撃。(T＿T:

▼Code Red の特性？:

おぉ。やるなぁ。都庁。 ... この絵、なんだか萌えの要素が少ないのう。評価されるか微妙な所。

redo が公開されてたので試して見る。 inverse の時と ghost の仕様が変わっているようで、 ディレクトリ構造の細かい所が変更されていた。 INSTALL 準拠な為にユーザが気にする必要は無いと思っていたが、 やはり動かない ghost もいくつかあった。分別して以下に列挙。

• 動いた ghost :
  • 美耳＆ダミアン
  • てるの＆次郎
  • 奈留＆ゆうか
  • まゆら
  • サイバーレイン＆かぼちゃ
  • 毒子
  • 木村屋安子＆ギコ猫
  • 娘々＆蒸しうさぎ
• 動くけど何か変な ghost :
  • ねこことショータ EX ヘッドラインのページ表示でスクリプトエラーになる。(T_T
  • せりこ＆マルチ ヘッドラインが無効
  • ミミル＆PCうにゅう ヘッドラインメニューもネットワーク更新も無効 ヘッドラインの自動実行はされるが、スクリプトエラーで結局無効に。(T_T
  • 理夢 ネットワーク更新でスクリプトエラー＆ヘッドラインが無効に。(T_T
• 動かない ghost :
  • ネコ抱き
  • 鴨任意with猫
  • さゆ&舞
  • 黒任意(俺的、電波塔流) 実は redo 対応らしいので、インストールの方法を間違えているのかも。

う〜ん。何が違うんだろう。

朝(というか、既に昼前だったけど)出勤して、自端末から IRC に繋げようとした所、 部内ネットワークから外に出れない。周りの人に聞いても原因が不明だという。

• 昨日、某所で Code Red II の話が盛り上がった
• 社内のサーバは Windows NT/2K ばかり
• セキュリティー意識は皆無

という事実から、もしかして社内でも？(まさか〜..)と思い、 自分が管理している Webサーバ(Apacheで運用)のログをおそるおそる覗いたら、 出るわ出るわ攻撃跡のログ...(T_T
ていうか、〜.〜.〜.140 ？えっ。俺のホストじゃん。
おもむろに root.exe を検索

c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe

げっ.まずい... # こっそり証拠隠滅 :-)

その後、ネットワーク管理部門に電話で連絡... (勿論、実際の口調は丁寧です)

「yoya:     あの〜。俺の管理してるサーバがワームに感染したと思われる
            ホストから攻撃されまくってるんだけど、10時位から、
            今、ネットワークが不安定なのと関係あるんじゃない？」
「管理部署: 本日、ネットワーク管理者が出張に出かけておりまして...」
「yoya:     他に分かる人おらんのか？」
「管理部署: 彼一人しか分かりません...」
「yoya:     あんたん所、管理部門だろうが。ふざけんな。ゴルァ( ゜Д゜)」

というやりとりの後、とりあえず一人分かるという管理者にメールを出しておいた。

最近、流行りの Code Red II が社内にウヨウヨしてるんとちゃう？
このワームは１人２人直しても埓あかん性質の物だし、
そっちが号令かけてやってもらわないと、ダメなんじゃないの？
ログ送るから、目ぇかっ開いてよく見た後、
とっとと返事よこせや。コラ！

といった感じのメールを書いた所、 １時間経ってその人から社員全員宛てのメールが届く。

Code Red II というワームが社内に蔓延してるので、パッチあててね♪
パッチあてる手順
・まずケーブルを抜きましょう
・以下の場所からパッチを取って来ます。http://www.microsoft.〜＜以下略＞

それに対する周りの反応

ケーブル抜いたらパッチ取ってこれないじゃん
っつーか、ネットワークが使えないって言ってるんだろ。
何ねぼけてるんだ。こいつは...

その後、パッチが添付されたメールが届きました...
という訳で、午後は上司への状況説明とパッチあてに追われる。(T_T

僕の管理してるサーバは UNIX (Solaris と NetBSD) なので、 関係無いと思ってたんだけど、こういう日に限って Windows サーバの 管理者が休んでたりして、代わりにパッチあて作業するはめになるし、 「Web サーバが危ない」って言葉だけ聞いたお偉いさんが、 Windows に限らず全部の Webサーバを止めなさい (しかも、ケーブルを引っこ抜けだって...) なんて命令してくるので、事情を詳しく説明しないとダメだし... (T_T
午前中はネットワーク使えないし。(というか僕は出勤してないし...) なんだかな〜。って日でした。 (って、僕の端末も感染してるので共犯者なのか... 鬱だ、氏のう)

▼素朴な疑問:

昨日、無理しすぎたせいか、 午後になっても復調せず。

感染が疑われるホストに連絡してくれるそうだ。

そろそろ我慢できなくなってきた。 いくらなんでも、タイトルと本文がずれるのはいかんでしょう。 メーラーとして...
かといって Netscape4.x は、Windows 2000 ではインストールが うまくいかないし... (T_T
Netscape 以外に Windows で動作する良いメーラー無いかなぁ。

夜寝れなかったが、そのまま出社する。
胃がひっくり返りそうな感じ。 徹夜は良くない事を実感。

今日、気付いた訳なので、 実際に傷口のみみずばれの度合が減り始めたのは もっと前なんだろう。