ぎょーむ日誌 2009-02-24

2009 年 02 月 24 日 (火)

• 0730 起床． まだねむい． 朝飯． コーヒー． 0855 自宅発． 曇． 0910 研究室着．
• 昨日も書いたように， 私が東京にいるあいだに A 棟 7-8F LAN (通称「闇ネット」) が北大ネットから切り離されて音信不通状態． 原因は A 棟 7-8F のどこかで ウィルスとかにやられた暴走 PC が 学外にむかって無差別大量の不正アクセスをやっていたため．

  (2009-02-23 13:13)
  ネットワークチームです。
  
  久保先生が管理者として登録されています端末
  IPアドレス：133.50.217.249
  MACアドレス：00:A0:B0:3C:0F:6A
  機種名：router box
  設置場所：A802
  より、学外の不特定多数IPアドレス445番ポートに対して、
  短時間に多量の不正アクセスを行っているのを検知しました。
  
  意図されていないアクセスの場合、当該端末がウィルス・ワーム・
  マルウェアなどに感染、またはrootkitが組み込まれた可能性があります。
  お手数ですが端末のご確認をお願い致します。
  

  そしてなぜかこういうときだけは迅速に止められた．

  (2009-02-23 14:04)
  ネットワークチームです。
  
  現在、学外への445番ポートに対する通信が検出され続けていますので、
  影響を考えまして通信を停止しましたのでご了解ください。
  

• とりあえずの対処療法を． A 棟 7-8F ルータで TCP/IP フィルタリングを． 今までやってなかった私が LAN 管理者として無能， という側面あったわけだが． 昨夜のうちにネット上で調べて見つけておいた 「 LAN→WANで必ず遮断しなければならないパケット一覧」:

  プロトコル ポート番号  サービス名  	 コメント
     TCP,UDP     135     epmap         RPCに使用
     TCP,UDP     137     netbios-ns    コンピュータ名の名前解決に使用
     TCP,UDP     138     netbios-dgm   コンピュータの一覧表示に使用
     TCP         139     netbios-ssn   ファイル、プリンタ共有に使用
     TCP,UDP     445     microsoft-ds  ダイレクトホスティングSMBサービス
  

  なるほど 445 番もとうぜんのごとくに含まれています． えーい， こういうゐんどーづ関係のポートはふさいでおく必要があったんだな． ともかくルータの設定．
• 北海道大学情報基盤センター ネットワークチーム (内線 3456, 2948) に電話かけて (何しろネットが使えないのでメイルがだせない)， 再び北大につないでもらう．
• とりあえずうまくいった …… と A 棟 8F 内をうろうろ点検してたら， 同時多発的にともうしますか， 別の事故が． 数年前に買った安物の switching hub (I-O data ET-FSWH8S2) がまたまた突然死． 「またまた」というのは 8 台ぐらい同時に まとめて買ったんだけどここ 1 年ぐらいでそのほとんどが ナゾの「突然死」をとげる， という事故がつづいていまして …… とりあえず研究室のかたすみにころがってたばか hub に交換．
• 1030 より 研究室セミナー， 今日は平田さんで紫外線がサロベツのミカヅキグサ・ヌマガヤ に何か影響あるか， というハナシ． まあ実験室内の実験とはちがうので， いくらがんばってもそんなに顕著な「処理差 (紫外線カットフィルム差)」 なんてでないのだけど， この二種の植物差についてはいろいろと考えさせられる． ヌマガヤのほうが紫外線吸収物質の量が多い (らしく)， 同じ期間内のバイオマスも多い (?)， いっぽうでミカヅキグサのほうが地上部への分配重視で， 繁殖開始齢が早そう (江川さんのデータ) …… なんか関連ありませんかね?
• 研究室内に院生の人数がそろってきたので (つまりこの中に「犯人」がいるだろうということで)， セミナー終了後に「感染者」さがしを始める． 院生部屋の回線上にばか hub をかませて (このハコはこういう状況では必要不可欠な道具)， そこに自分の ThinkPad をつないで tcpdump という TCP/IP パケット盗聴ツールとでもいうべきもので アヤしげなパケットをさがす．
• tcpdump -nn して他の host の 445 番ポートに大量不正アクセスしている流れをさがす …… A802 室で あっさり みつかった． LAN 内 IP アドレス 192.168.1.149 だ． やはり院生の PC だった． 下の log を見ればわかるように， 乱数をつかって「近傍」らしき IP アドレスを生成して， なんとかもぐりこもうと努力している …… 効率わるいというべきなのだが， これであっさり感染してしまう院生もいるわけで．

11:59:35.015672 IP 192.168.1.149.27181 > 192.168.59.208.445: S 1688427587:1688427587(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>
11:59:35.015876 IP 192.168.1.149.27180 > 192.168.59.207.445: S 1927696528:1927696528(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>
11:59:35.016765 IP 192.168.1.149.27182 > 192.168.59.209.445: S 3167003295:3167003295(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>
11:59:35.017949 IP 192.168.1.149.27183 > 192.168.59.210.445: S 1402010468:1402010468(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>
11:59:35.018161 IP 192.168.1.149.27184 > 192.168.59.211.445: S 1871805862:1871805862(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>
11:59:35.018369 IP 192.168.1.149.27185 > 192.168.59.212.445: S 2931914747:2931914747(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>
11:59:35.018562 IP 192.168.1.149.27186 > 192.168.59.213.445: S 3740762442:3740762442(0) win 65535 <mss 1460,nop,wscale 2,nop,nop,sackOK>

• いわゆる「理系の大学院生」(もしくは大学教員) とゆーとさぞかし計算機だのネットワークに詳しいだろう， と世間では思われているのかもしれないけれど …… 実際のところはぜんぜんくわしくなく， こういうシステムに接する態度なんかも「理論と実験」 といったいわゆる理系的なセンスではなく， むしろ「呪いと祈り」といった感性だ． かくいう私自身も現在の作業の中に ちょっと呪術医めいたものがあるように思えてしまうわけで ……
• ともあれ， 445 番ポートへの不正アクセスを止めるルータ設定はすでにほどこしてあるので， 当該院生にさっさと駆除するよう指示．
• すると情報基盤センターからおいうちが ……

  久保 拓弥様が管理者となっている下記端末
  
  IPアドレス　　133.50.217.249
  MACアドレス　 00A0B03C0F6A
  ハブポート　　G22AC/01　（登録上のものです）
  機種名　　　　router box　（登録上のものです）
  設置場所　　　A802　（登録上のものです）
  
  から、11:49-11:50の間に約540通のランダムな
  送受信者アドレスを持つメールが送信されました。
  ウィルス等の不正プログラムの感染が懸念されますので、
  当該端末からのメールの送信を一部禁止させていただきました。
  

  一分間に 540 通とはウィルス君もなかなかがんばりますな．
• で先ほどの tcpdump log を調べてみると， たしかに先ほど特定した感染マシン 192.168.1.149 から学外の 25 番ポート (SMTP) に大量メイル送信らしきことをやっておりますな． つまりメイルソフトウェアを暴走させているわけではなく， 学外の SMTP server (IP アドレスを調べると hotmail など) に直接接続してメイルを送らせようとしているわけで ……

11:59:35.003877 IP 192.168.1.149.27177 > 65.54.245.72.25: . ack 89 win 32725
11:59:35.004052 IP 192.168.1.149.27177 > 65.54.245.72.25: F 7:7(0) ack 89 win 32725
11:59:35.004989 IP 65.54.245.72.25 > 192.168.1.149.27177: . ack 8 win 1460
11:59:35.015352 IP 192.168.1.149.27178 > 208.36.123.235.25: P 17:49(32) ack 34 win 32749
11:59:35.016949 IP 208.36.123.235.25 > 192.168.1.149.27178: P 34:42(8) ack 49 win 1460
11:59:35.017688 IP 192.168.1.149.27178 > 208.36.123.235.25: P 49:81(32) ack 42 win 32747

• ということで 25 番ポートもふせぎたいのだが， それをやると他の人たちが困るわけで …… あ， いま考えたら特定の IP からの外部 25 番接続だけを 切断すればよかったんだ． われながらアホだ．
• ともかくその場ではそういう発想がでなかったので， その感染マシンのケイブルを外してウィルスチェックしてもらう． しかしながら， 無料のウィルスチェッカーや rootkit では問題がみつからん ……
• さいわいにも， このあたりでは「GCOE ばぶる」とかいうお金あまりな現象が発生しているらしく， 当該大学院生も研究費をもっていたので最新の Norton 360 を その研究費で買ってもらう．
• で Norton でごちゃごちゃと作業して， 再起動してみたらゐんどーづが起動しません， なる新たなトラブルが． 何でこの私が壊れゐんどーづの修復なんかを …… とクラい気分でイヤな修復作業にとりくむ． これはけっきょく夜まで解決しなかった．
• OS はほとんど起動している． 壁紙とかいうのがでた段階で boot が止まる． Ctrl+Alt+Delete で process manager なるものを起動して， task を動かすとほとんどのプログラムは問題なく動く． 唯一の例外は c:\WINDOWS\explorer.exe でこれが動かないためにフォルダだの 「スタートボタン」だのも表示されない， という状況．
• えーと起動時に F8 でゐんどーづの safe mode か， とかゐんどーづ無駄無駄知識なんかを勉強． しかし safe mode も「システム復元」 (これはくだんの process manager のタスク起動で msconfig) もダメか ……
• process manager における c:\WINDOWS\explorer.exe (これはちゃんと存在する) のタスク強制起動で 「'explorer.exe' が見つかりません」 という警告があまりにも奇妙なものである …… とよーやく気づいたので， これを手がかりに 検索 してみると …… やはりウィルスの悪影響のひとつでレジストリが書き換えられてたらしい， とわかった． こちら で紹介されている対策， regedit で HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe の Debugger = "c:\Program Files\Microsoft Common\wuauclt.exe" を削除して「既定」だけのこすと， c:\WINDOWS\explorer.exe が起動するようになった． やれやれ． ゐんどーづってどうしようもないね ……
• で， Norton 360 に残ってた log によると駆除されたあれこれは

  	Trojan Horse
  	Trojan.Donbot
  	Backdoor.Trojan
  	Trojan.Donbut
  	Trojan Horse
  	Trackware.SAHAgent
  

  といった Symantec が勝手につけてる総称らしきもので， これで具体的なウィルス名まではわからん． 上のレジストリ書き換えという症状は， Trendmicro によると TROJ_AGENT.AWVZ ってコトになるらしいんだけど ……
• …… ともあれ， OS 内のファイアーウォールも設定せずに学外の無線 LAN とかにも ぱかぱかと接続してた院生の感染マシンからはもはやいかなる 種類の大量不正アクセス・メイル送信もないと tcpdump で確認して徒労感大の作業を終了． ばてばて． イヤになるなあ． 1950 研究室発． 雪． 買いもの． 2015 帰宅． 体重 71.6 kg． 不健康ふとりぎみだな． 晩飯の準備． 晩飯．

[地環研前の雪だるま]

[統数研ぐっず]

昨日， 統数研でおみやげにいただいた統数研ぐっず． エコバッグとかポストイットとか． 秀逸なのは 「日本人の国民性調査」 トランプ． カードのオモテには国民性調査アンケートの質問が書いてある．

• [今日の運動]
  • こういう日にこそうんどうすべきなんだろうけど ……
• [今日の食卓]
  • 朝 (0820): 米麦 0.6 合． ネギ・卵の炒めもの．
  • 昼 (1330): 研究室お茶部屋． 米麦 0.8 合． レトルトパウチドのカレー．
  • 晩 (2200): 米麦 0.8 合． ダイコン・ニンジン・ネギ・豚肉の味噌汁．