Seki's Diary

なるほど、sedはそうやって使うんですか。grep使うよりも賢い。 11:34現在、

% sed -n '/cmd.exe/s/ .*//p' /var/log/apache/access.log | sort | uniq | wc -l
     42

uniqしないと1328。国内からのアクセスは4。ほとんどは海外のアクセス。 けっこう差が出るものなんですね。

_ omegaでは

15:23現在、uniqした数が1159! このように、ホストによってアタックの数が違うことはなにを意味しているの だろうか？

W32.Nimda.A@mmには、

このワームは、ランダムに生成したIPアドレスに該当するWebサーバを探し出し、前述の「Unicode Web Traversal」と呼ばれる脆弱性を使って、自分自身をadmin.dllとしてWebサーバにコピーします。

とあるけれど、IPアドレスの生成は完全にランダムというわけでもなさそう。

_ omegaの最初のログ

xx.xx.xx.xx - - [18/Sep/2001:13:46:21 +0900] "HEAD /cgi-bin/cmd.exe HTTP/1.1" 404 0
xx.xx.xx.xx - - [18/Sep/2001:13:46:21 +0900] "HEAD /Cgi-Bin/cmd.exe HTTP/1.1" 404 0
xx.xx.xx.xx - - [18/Sep/2001:15:15:02 +0900] "GET /scripts/..%c0%2f..%c0%2f..%c0%2f..%c0%2f..%c0%2f..%c0%2f..%c0%2f..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.1" 400 320

最初の2行は、Nimdaのパターンとはちょっと違うかも。 別のアタックかな。 ３行目が、Nimdaっぽい最初のアタック。 この時点ですでにはじまっていたのか。

_ というか

最初の２行については、前後でこんなアタックをしているのでNimdaとは 別っぽい。

61.171.33.21 - - [18/Sep/2001:13:46:20 +0900] "HEAD /cgi-bin/dbmlparser.exe HTTP/1.1" 404 0
61.171.33.21 - - [18/Sep/2001:13:46:21 +0900] "HEAD /cgi-bin/cmd.exe HTTP/1.1" 404 0
61.171.33.21 - - [18/Sep/2001:13:46:21 +0900] "HEAD /cgi-bin/Cgitest.exe HTTP/1.1" 404 0
61.171.33.21 - - [18/Sep/2001:13:46:21 +0900] "HEAD /Cgi-Bin/cgitest.exe HTTP/1.1" 404 0
61.171.33.21 - - [18/Sep/2001:13:46:21 +0900] "HEAD /cgi-bin/cgimail.exe HTTP/1.1" 404 0
61.171.33.21 - - [18/Sep/2001:13:46:21 +0900] "HEAD /cgi-bin/ceilidh.exe/ceilidh/?N4 HTTP/1.1" 404 0

これは、さすがに悪意のあるアタック？

_ MSNが感染

だそうで、まったくなにやってんだか。

$ w3m -dump http://www.msn.co.jp/
このサイトは Microsoft Internet Explorer でご覧ください。
Microsoft Internet Explorer をインストールしてください。

ここをクリックして Microsoft Internet Explorer をダウンロードしてください。

(C) 1997-2000 Microsoft Corporation. All rights reserved. Terms of Use. Privacy
Policy.

こういう表示を見ると、さらに頭に来ますね。 しかも、ユーザーエージェントによる振り分けをJavaScriptで しているため、JavaScriptをオフにしているとIEでこのページに アクセスしてもなにも表示されない。

やはり、サイト側でユーザーエージェントやJavaScriptその他の 使用を「強制」するのはやめてほしいし、特にMicroSoftだからって IE強制には醜さを感じる。

_ そもそも

JavaScriptのコードを埋め込まれた時点で、ユーザーはJavaScriptを オフにする対策をまずはとるだろうということくらいは予測できるはず。 そうしたら、JavaScriptをオンにしないとアクセスできないような トップページは、JavaScriptをオンにしなくてもアクセスできるように 変えてしかるべき。

そういった細やかな心遣いをMSNに求めるのが酷というものか。

テロリストは、Hotmailでやりとりをしているものなのだろうか、 という素朴な疑問。

まったくその通りだと思うので、 規定に従い再配布。

Date: Fri, 21 Sep 2001 13:47:34 +0900 (JST)
From: Tomohiro Yamauchi (山内 朋浩) <handy@nid.co.jp>
Subject: [memo:1311] Re: MSNのサーバ
To: memo@memo.st.ryukoku.ac.jp
Message-Id: <20010921.134734.579767944.handy@nid.co.jp>

山内です。

> 安藤＠岐阜です。
> 
> ちょっと前の情報にこんなのがありました。
> http://headlines.yahoo.co.jp/hl?a=20010920-00000010-imp-sci
> 
> これによると、サーバ自身は感染していなくて、感染したhtmlファイルがサー
> バにアップロードされたとのこと。
> どちらにせよ、社内への感染経路は公開されてませんが・・・
> 
> >既に、http://www.msn.co.jp/ に障害があったのはMicrosoftの基準によると、
> >忘れ去られた遥かなる過去のことなんでしょうか。

絶句。と言いながら一言．．．二言、三言 (^^; yahoo の記事には

--
Webサーバを1時間程度インターネットから切り離しワームの削除を行なった
上で、19日の9時頃Webを再開させた。マイクロソフトでは、MSNのWebサーバを
社内と社外データセンターに設置しており、感染したのは社外に設置された海外
向けのサーバだという。サーバが直接感染したのではなく、コンテンツを
作成している社内の何れかが「Nimda」に感染し、感染したhtmlファイルを
サーバにアップロードしてしまったために、サーバが感染してしまったという。
--

とあります。だからなんだ？という気がしますが
Warning:'IIS' is reserved.
IIS + Windows が直接やられたわけではない
→ サーバへのパッチ適用をさぼっていたわけではない
→ apache + UNIX などの他のシステムと比較して
   セキュリティ的に劣っているわけではない
ということが言いたいのでしょうか？
＃ 一番大事なことはそんなことじゃなく外部への影響であって、それは
＃ サーバが直接感染していようがいまいが関係ないと思うんだけど。


で、それはそれとして「コンテンツを作成している社内の何れかが「Nimda」に
感染」したのに「Webサーバを1時間程度インターネットから切り離し
ワームの削除を行なった」という対処だけ書いて、それも数日で消してしまうと
いうことを、これほどメジャーなプロバイダが平気でやることにも呆れてしまいます。


今回の MSN の対処は歴史に残しておきたい愚行だと思う。

--
山内 朋浩		handy@nid.co.jp

[ You can copy, distribute and publish this article as you receive   ]
[ it.  More detail: http://memo.st.ryukoku.ac.jp/saihaifu.html       ]

実に久しぶりに参加。チャレンジカップエントリーの時間が 終っていたので、Japan Open 中級戦の予選に参加。 ２連勝で、予選を通過してしまった。本戦で５回勝てば 優勝、ラスベガス行き、のはず。

ティーシャツをかけた８人ワンポイントマッチトーナメント でも、なぜか優勝。

レーティング戦では２連敗、これで通算1-7でレートは1231。 レートの方は、どんどん負けっぱなし。

飲み会は、 さくら水産 赤坂見附店にて。着くや否やシュエットがはじまるあたりがなんとも。 途中から、コインをチェッカーにしたギャモンがはじまったが、 さすがにやりにくそうだった。みんなギャモン好きばかり。

例年ならばとっくに公募通知が来ているところが、文部科学省の 事情で遅れている。正式な通知が来ていないけれど、書類を用意 しておくように、との案内が19日に来て、締め切りが10月2日。 まだ、正式な案内は来ない。

「主たる滞在地」のアメリカコーネル大学と連絡を取り、あれこれと やりとりをしている。Invitation letter を送ってもらっている ところなので、とりあえずは問題ないだろう。 研究計画についても、少し話しているところ。あとは、計画を練って ちょいちょいと書類を埋めるだけなのだが、旅客運賃見積書も 取っておかないといけない。

「その他の滞在地」をどこに設定するか、考え中。

_ デンマーク

知合いの研究者がいるので、メールを出したところすぐに返事が来た。 とりあえず、メールで打診はこの程度かな。あとは、適当に行きたい 国を埋めて、決まったら訪問先の国の研究者にメールでコンタクトを とって、より詳しい予定を決めればいいか。

アメリカ、カナダ、ヨーロッパ路線でいくかなぁ。 ぐいっとエジプトあたりにとんだりして。 ピラミッドは、一生に一度は見てみたい。 来週から３年間、エジプトの留学生が来ることだし。

_ こう考えていると

なんかわくわくしてきますよ？ 当たるといいんだが。

_ 若手教官の別枠推薦

この制度で申請するわけだけど、「推薦時期」によれば例年ならばとっくに 文部(科学)省に提出されている時期だ。省庁再編その他で、仕事が滞って いるのかな。

文部科学省からの正式通知が来た。 事務には、昨日到着していたとのこと。 デンマークについては、昨日コンタクトした人に加えて Dr. Peter Engesgaardにもコンタクトをとってみることにした。 それから、最近在外研究から帰って来た先生にも話を聞いた。

今週中に、コーネル大学やデンマークとコンタクトを取りつつ日程を決めよう。 なにしろ、当たる保証はないとはいえ、当たってからの予定変更は なかなかできないシステムになっているし。

_ デンマーク語

英語とドイツ語の中間か。文字を見れば、なんとなく想像できる 単語もあったりして、ちょっと親しみやすい。

なんだか腑に落ちない判決だ。 「師匠としての使用者責任」ということは、師匠でなければ 使用者責任はないということか。たしかに、友人の車に 同乗して、友人が事故を起こして私が責任を取るとしたら 納得できないので、そういうことだろう。

保護者が責任を取るというのも、納得はできる。 漫才の師弟関係とは、保護者と同程度に強い責任を法的に負うもの なのだろうか？法的には師弟関係とはどのように解釈される ものなのか？弟子の罪は師匠がかぶるものなのか？ そのあたりがまったく分からない。 弟子がすでに業務上過失傷害罪で略式命令に応じているのならば、 それだけでいいと思うのだが、なぜ師匠の責任を問われるのか。

というのが一つ。もう一つは、名誉毀損は親告罪だから、 経営者が坂田を名誉毀損で訴えてはじめて争われる性質のものなのに、 なぜこの裁判の中で名誉毀損が問題になるのか、という点だ。

なんだか、雑な裁判やってません？ もちろん、素人の私には本当のところは分かりませんが。 控訴するとのことなので、当然そのあたりを坂田側は主張 するだろうとは思うけど。

受信