Last modified: Fri Apr 11 12:59:34 2003 +0900 (JST)
新しい状況は.jp 集中 crack 関連を参照。
JPCERT/CC Alert 2001-02-27 出てます。JPCERT/CC では DDoS クライアントの設置を確認しているようです。
EVERYDAY PEOPLE さんのところに Honker Union of China などによる日本のサイトへの攻撃情報 ができています。 EVERYDAY PEOPLE さんの list では、H.U.C はひとやすみで他の人達がご活躍のようです。 はふ。
マイクロソフトから、 Internet Information Server をご利用いただいているお客様へ: Web コンテンツの改ざんに対する防御策についての説明 という文書が登場した。IIS 4.0 / 5.0 に対する対処方法がまとまっている。 すばらしい。 JWNTUG Newsletter も号外を出したし (subject については、見なかったことにしてね (T_T))。
Trin00 や Stacheldraht の警報が発生した という情報が出てきました。ひきつづき警戒が必要だと思います。
http://www.isforce.org/cgi-bin/bbs/bbs.cgi?menu=show&slttitle=20010226234942&id=lion&see=36 で lion 氏が侵入方法について記述している。 RedHat および Slackware で動作するという bind 攻略ツールのソースが添付されている。 この攻略ツールは見事に動作するそうだ: レポート [1]、 [2] (RedHat 6.1/bind 8.2.1-7)、 [3] (RedHat 6.2/8.2.2-P5)。 古い named を root 権限で動作させている場合、一撃で root を取られる。 というわけで、まだ 4.9.7 以前 / 8.2.2 以前を利用している場合は、 早急に 4.9.8 / 8.2.3 に upgrade しましょう。 PC UNIX の対応 patch / package 一覧は こちら。 なお、RedHat 6.2J では効果なし のレポートもある。
ダンナ@サポセン さんがこのツールによる攻撃を検知する snort 用の signature (とフォロー とフォロー) を作成されている。
DoS がなかったわけではなかったようです: [140] Re2:情報共有のために・・・。 ただし、DDoS のような大規模な攻撃、については報告されていないようです。 さきほど log を見直していたら、うちの DNS もそれっぽいのを発見したので、 source address に問いあわせ中。
lion 氏が [email protected] からもらったという mail (たぶん官庁HP攻撃は続行と警告 反中姿勢に抗議とハッカーの件) が http://www.isforce.org/cgi-bin/bbs/bbs.cgi?menu=show&slttitle=20010226200703&id=lion&see=1 にある。下 3/4 がオリジナルメッセージなのだろう。 なんだかなあ。 そんなに言うんならとっとと go.jp に DDoS せーよ、という気もしてくる (けど中国語読めないから誤読している可能性アリ……だれかまともな日本語に訳して〜)。
日本航空の件はどこかで聞いたような気がする (どこだっけ……) けど、ミツビシの件ってどういう件かな。
マスメディアに対して犯行声明が発せられたようです:
官庁HP攻撃は続行と警告 反中姿勢に抗議とハッカー (全文公開してくれないかなあ)。
「今後も日本の官庁HPに対する攻撃を続ける
」のだそうですが、
現実に被害が発生するのは民間サイトばかりのようです。
EVERYDAY PEOPLE
にリストされるサイトも減る気配がありません。
さらなる警戒が必要です。
結果的には、幸いなことに DDoS 攻撃事例はいまのところ確認できていないようです。 また、H.U.C の宣言にある攻撃期間 「2001/2/16 19:00 (JST 換算) から 1 週間」 はすでに過ぎているにもかかわらず、web page 書き換え攻撃については継続されている模様です。 EVERYDAY PEOPLE などを参照してください。
状況については、武田さんの [connect24h:01627] 状況整理と対応私案(ver.2241900) がよくまとまっています。
2/23 20:00 ごろに何らかの動きがあるらしいので、 各方面で緊急対応体制が取られています。 「これは演習ではない」。 参照: ホームページ等に対する攻撃予告の情報について
DDoS ツールを植えつけられたサイトがあるようです。 PC 系でしたら、ふつうのワクチンソフトを使えば DDoS ツールを発見できるはずですので、 一度ディスク全体をスキャンしてみるのがよいでしょう。 例のアドレスブロックに該当するサイトについては特に。
ワクチンソフトを持ってない人 (いまどきそういうことでは困ります) は、とりあえずの目的には各ベンダーが配布している試用版が利用できるでしょうし、トレンドマイクロなどのオンラインスキャンもあるし、 今すぐ買いに行くのもいいでしょう。 オンラインショップからダウンロード購入できるところもあったはず。 ワクチンベンダーについてはこのへんとか見てください。
……うわ、2001年2月23日(金)午後11時〜翌24日(土)午後1時までの間、 トレンドマイクロ東京本社のビルのメンテナンスのため、 ウイルスバスター2000/2001のパターンファイル更新、 ウイルスデータベースの閲覧など、 一部のWEBを使用したサービスを停止させていただきます だって。なんてタイミングの悪い。
UNIX 方面だと、脆弱性スキャナ Nessus (最新は 1.0.7a) はいくつかの DDoS ツールに対応しているようです。 また、スタンドアロンな TRINOO/Tribal Flood Net/tfn2k 発見ツール (for Solaris, Linux only) が http://www.nipc.gov/warnings/alerts/1999/trinoo.htm にあります。