投稿日:2002年08月11日 作成鷹の巣

No.4549 Code RedとBlackICE Defender



Code RedとBlackICE Defender

No.4549 投稿時間:2002年08月11日(Sun) 22:21 投稿者名:dosanko URL:

dosankoと申します。焦ったあまり、「訪問客帳」の方で鷹の巣さんに相談させていただき
鷹の巣さんに大変ご迷惑をおかけしました。

さて、本題です。Blackice Defender Workstation 2.9 carJとCode Redの問題に関して
です。
まずは私のAn Httpdのログをご覧ください。IPは念のため一部伏せます。

21*.13.176.219 - - [07/Aug/2002:21:07:16 +0900] "GET /default.ida?NNNNNNNNNNNNNNNNNNN(一部省略)00%u00=a
HTTP/1.0" 404 215

【404が出ているもののこの段階でCode Redに感染しました】

私のPC環境はWindows 2000 Professionalです。ルータはCorega SW-4Pです。設定は多分間違いないと
思います。IISはインストールされておりません。indexing serviceに対しては、Microsoftの
脆弱性 MS01-033 の修正パッチ」を適応しておりましたので、idq.dllは最新にしておりました。

ところが上記時間、Code Redに感染しました。感染場所はBlackICEの edv***.enc
というファイルです。この拡張子ファイルはBlackICEの設定(Port設定、禁止IP、許可IPなど)
のファイルだと思います。ここに感染しました。

私としては、BlackICEは正規ユーザーですし、サポートに連絡をとりましたが、お休みのようで
した。まぁ、夏休み休暇だから当然のことですが。。
もしかすると私の設定ミスかと思っておりましたが、SP3が突然発表。
Windows Updateは更新の履歴を見てもよく更新失敗があります。そんな折、SP3が発表され、
「これなら一気に解決できる」と更新。idq.dllも2002/07/23の最新版になっており、これ
なら大丈夫だと思いきや。。。またもやCode Red攻撃。最新のパッチを当てているから
大丈夫だろうと思いましたが、念のためNAVで一応確認しました。ところが、なんと、また
BIDが感染しているんです。

じゃ、感染してる場所のソフトを削除するしかない!という単純な結論。
そこで、実験としてZoneAlarmに変更して実験しました。ZoneAlarmの最新版3.1.291英語版を導入。

それからのAN HTTPDのログです。

6*.134.74.35 - - [11/Aug/2002:08:21:37 +0900] "GET /default.ida?NN(省略)%u0000%u00=a HTTP/1.0" 404 215
いつものログと同じ。やっぱり私の知識不足かと思いNortonで検索。ところが、感染していません。
それから、もう一度Code Red攻撃がありましたが、矢張り感染しておりません。

一体何が原因なのかはわかりませんが、BlackICEに関連していることは間違いなさそうです。
私は敵対企業の者ではありませんし、純粋に個人レベルでサーバー運営をしている者です。

お盆明けにでも再度サポートに電話してみますが、そういう情報はないと言われれば(少なく
ともHPには情報無し)、BIDはやめて、ZoneAlarmかSygateにしようかと思っています。
Sygateの方がよりこまやかに設定できるようですし。

だらだら、長文すみません。以上、ご報告でした。お金をかければ安心というのはもの
ではないですね。実感しました。BIDでこのような状況に陥った方はおられませんか?

以上、掲示板汚し失礼しました。

dosanko


Code Redに感染していないのではないでしょうか?

No.4573 投稿時間:2002年08月13日(Tue) 20:13 投稿者名:鷹の巣 URL:http://sakauch.com/

> dosankoと申します。焦ったあまり、「訪問客帳」の方で鷹の巣さんに相談させていただき
> 鷹の巣さんに大変ご迷惑をおかけしました。


何も迷惑していませんので、ご心配なくお願いします。


> さて、本題です。Blackice Defender Workstation 2.9 carJとCode Redの問題に関して
> です。
> それからのAN HTTPDのログです。
>
> 6*.134.74.35 - - [11/Aug/2002:08:21:37 +0900] "GET /default.ida?NN(省略)%u0000%u00=a HTTP/1.0" 404 215
> いつものログと同じ。やっぱり私の知識不足かと思いNortonで検索。ところが、感染していません。
> それから、もう一度Code Red攻撃がありましたが、矢張り感染しておりません。


私はBlackice Defender Workstationの知識がないので推測ですが、Code Redに感染していないのではないでしょうか?
AN HTTPDのログで、404エラー(ファイルが存在しない)というのは、GETメソッドで要求した
http://example.com/default.ida
というファイルが存在しないので、AN HTTPDが215バイトのエラーメッセージを返しているだけです。
もし、Code Redに感染していれば、ファイルが存在しますので、ステータスコードは、404が200になります。


Symantecのサポートに確認してみます。

No.4575 投稿時間:2002年08月13日(Tue) 23:31 投稿者名:dosanko URL:

> > dosankoと申します。焦ったあまり、「訪問客帳」の方で鷹の巣さんに相談させていただき
> > 鷹の巣さんに大変ご迷惑をおかけしました。
> 何も迷惑していませんので、ご心配なくお願いします。

ありがとうございます、鷹の巣さん。

> 私はBlackice Defender Workstationの知識がないので推測ですが、Code Redに感染していないのではないでしょうか?
> AN HTTPDのログで、404エラー(ファイルが存在しない)というのは、GETメソッドで要求した
> http://example.com/default.ida
> というファイルが存在しないので、AN HTTPDが215バイトのエラーメッセージを返しているだけです。
> もし、Code Redに感染していれば、ファイルが存在しますので、ステータスコードは、404が200になります。

そうですよね、それで頭をひねっていたわけですが。。。Norton AntivirusがなぜBlackIceの中のファイルを「感染」と判断するのか?

これは、Symantecにもサポートに電話して確認してみないといけない
ようです。


Symantecのサポートに確認してみました

No.4633 投稿時間:2002年08月17日(Sat) 21:01 投稿者名:dosanko URL:

まず、ご報告を。BlackIceのサポートでは、「そのような報告はないです。NAVが間違って感染と判断しているのかもしれない」とのこと。確かに、NAVではBIDの中のログファイルを「感染」と判断するのですが、同社の無料サービス、"FixCRed.exe"では「感染」と判断しません。そのことも含めてSymantecに電話しました。Symantec側としても、過去のデータベースにそのような情報はないとのこと。感染したファイルを送って欲しいとのこと。ですから、次回Code Redに感染??したとNAVが判断したファイルを検疫せずに、Symantecに送ることになりました。

変な言い方ですが、Code Red攻撃がないのです。Nimdaばかり。ファイルを送れないから、一回、攻撃してしてね(~_~)。

ところで、こういった攻撃に対して、プロバイダにログを送ったところ、非常に丁寧なレスが来ました。「ご面倒ですが、不信なアクセスがありましたら、ログを毎回送っていただけませんでしょうか」とのこと。皆さん、不信なアクセスに対しては、リモートホストが特定できる場合、あるいはWhoisでISPがわかる場合は、できるだけログを送り付けましょう。多分、プロバイダ側も、今後、この種の問題で頭を抱えることになりそうですが、自宅サーバーを持っているものとして、できるだけの対抗措置は取りましょう!!


|目次|掲示板|過去ログ目次|▲頁先頭|