ある日、Linux にログインすると You have new mail の表示。
メールの抜粋
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)
This is a MIME-encapsulated message
--g8UEQ8P09195.1033395968/tornado.myhome
The original message was received at Mon, 30 Sep 2002 23:26:07 +0900
from apache@localhost
----- The following addresses had permanent fatal errors -----
cinik_worm@yahoo.com
(reason: 553 VS10-RT Possible forgery or deactivated due to abuse - see http://help.yahoo.com/...(略)
----- Transcript of session follows -----
... while talking to mx2.mail.yahoo.com.:
>>> RCPT To:
<<< 553 VS10-RT Possible forgery or deactivated due to abuse - see http://help.yahoo.com/...(略)
550 5.1.1 cinik_worm@yahoo.com... User unknown
--g8UEQ8P09195.1033395968/tornado.myhome
Content-Type: message/delivery-status
Reporting-MTA: dns; tornado.myhome
Arrival-Date: Mon, 30 Sep 2002 23:26:07 +0900
Final-Recipient: RFC822; cinik_worm@yahoo.com
Action: failed
Status: 5.1.3
Remote-MTA: DNS; mx2.mail.yahoo.com
Diagnostic-Code: SMTP; 553 VS10-RT Possible forgery or deactivated due to abuse - see http://...(略)
Last-Attempt-Date: Mon, 30 Sep 2002 23:26:08 +0900
--g8UEQ8P09195.1033395968/tornado.myhome
Content-Type: message/rfc822
Return-Path:
Received: (from apache@localhost)
by tornado.myhome (8.11.6/8.11.6) id g8UEQ7Q09176
for cinik_worm@yahoo.com; Mon, 30 Sep 2002 23:26:07 +0900
Date: Mon, 30 Sep 2002 23:26:07 +0900
From: Apache
Message-Id: <200209301426.g8UEQ7Q09176@tornado.myhome>
To: cinik_worm@yahoo.com
Subject: xxx.xxx.xxx.xxx <- 注:IP Address
PROC
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 8
model name : Pentium III (Coppermine)
stepping : 6
cpu MHz : 996.338
cache size : 256 KB
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 2
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 sep mtrr pge mca cmov pat pse36 mmx fxsr sse
bogomips : 1985.74
以下(略)
IP Address やハードウェア情報が、cinik_worm@yahoo.com 宛に送信され、
リターンメールとなっています。
たぶん、cinik_worm というユーザー名がワームに利用されていることが判明したので、
yahoo がアカウントを無効にしたのでしょう。
リターンメールにならなければ、感染に気づいたかどうか・・・。
このワームは、OpenSSL の脆弱性を悪用する「Slapper」の変種の一つである「Slapper.C」です。
応急措置として、/tmp 以下の .cinik などのワーム本体及び関連ファイルを削除するとともに、
侵入ポートである 443 を塞ぐために「httpd.conf」の
Listen 443
をコメントアウトしました。
また手元に、雑誌の付録の redhat 7.3 の CD があったので、
これをクリーンインストールすることにしました。
Red Hat Linux 8.0 が、2002.10.25 に発売されるとアナウンスがあるときに、
今更 7.3 という気もしましたが、とりあえず手元にあったもので・・・。(^_^;)