中田さん、早速ご返事ありがとうございました。「CodeRed の感染の仕組み」が良く分かりました。
idaは拡張子だったのですね。そしてdefault.idaがファイル名である事が分かりました。私は an httpd を
それこそdefaultのままで動かしているので、てっきりそのせいかと思っていました。ご粗末( ^ _ ^ ! )
これでますます枕を高くして眠れます。今後もよろしくお願いいたします。
lkb さん、
CodeRed の感染の仕組みは、簡単に言うと、
(1)GET /default.ida?XXXXX... という長いリクエストを送り付ける
(2)/default.ida があることを確認する
(3)拡張子 .ida に関連付けられた idq.dll が起動されてリクエストを処理し始める
(4)idq.dll の内部バッファがあふれてリクエストに含まれているプログラムを実行する
ということになります。
IIS のデフォルト設定では、/default.ida があり、それを処理するために idq.dll が呼ばれます。
そして idq.dll に欠陥があるので感染し、侵入されるわけです。
IIS 以外の HTTPサーバ (AN HTTPD, Apache, BlackJumboDog,.. など) では、まず、 /default.ida がありませんから、その先には進めません。
/default.ida があったとしても、拡張子 .ida で idq.dll を呼ぶことはありませんから、なんともありません。
わざわざ /default.ida を作り、.ida に対して Perl などを呼ぶようにして「反撃」のスクリプトで遊んでいる人もいるようです。
まさに灯台下暗し。
質問をアップしてから念のためにと思って、足元の現役ログに目を通してみたらありました。それもそっくりさんが。
しまったと思っても後の祭り。
そうかあ、「Microsoft IIS の脆弱性を使って伝播するワーム "CodeRed II"」だったのかあ。さっそく提示された解
説に飛んでみるといろいろ難しいことが書いてある。なんだかんだ言っても、結局は中田さんが「AN HTTPD は
この CodeRed の攻撃で侵入されることはありえません。」とおっしゃっているのでこれで決まりだ。すっかり勇気百倍
安心して使い続けています。
というわけで、もうみんな分かった積もりでいますがこれが一番危ない。よろしくお願いします。
私は先日から an httpd をダイヤルアップサーバとして何とか動かしています。いつか自分も試してみたいと
思っていたことが実現できて大変感謝しています。
そこでログファイルの見方ですが、コメント集の過去ログ分類版などを見ても、ごく初歩的な説明がないように
思われたので、下の私のログの一例で、その見方考え方を説明していただけないでしょうか。
61.203.62.219 - - [17/Aug/2001:18:54:52 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXX
途中2行省略
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b
%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 215
実はこれと同じようなものが、外部からアクセスするたびに起きている感じで、ログファイルの画面を埋め尽く
しているんです。「?」があったり、「404」があったりでなんとなく不安。いったい何を意味しているんでしょうか。
よろしくお願いいたします。