ワーム（Slapper）に感染！

■ 構成図

久々の更新です。(^^;)
現在の環境です。

構成図
Linux server --- AKIA Tornado 8300 (Red Hat Linux 7.2/Windows ME)
Windows client --- SONY VAIO PCV-RX73 (Windows XP Home)
Windows client --- Dell Inspiron 2500 (Windows XP Home)

■ リターンメール

ある日、Linux にログインすると You have new mail の表示。

メールの抜粋

Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)

This is a MIME-encapsulated message

--g8UEQ8P09195.1033395968/tornado.myhome

The original message was received at Mon, 30 Sep 2002 23:26:07 +0900
from apache@localhost

   ----- The following addresses had permanent fatal errors -----
cinik_worm@yahoo.com
    (reason: 553 VS10-RT Possible forgery or deactivated due to abuse - see http://help.yahoo.com/...（略）

   ----- Transcript of session follows -----
... while talking to mx2.mail.yahoo.com.:
>>> RCPT To:
<<< 553 VS10-RT Possible forgery or deactivated due to abuse - see http://help.yahoo.com/...（略）
550 5.1.1 cinik_worm@yahoo.com... User unknown

--g8UEQ8P09195.1033395968/tornado.myhome
Content-Type: message/delivery-status

Reporting-MTA: dns; tornado.myhome
Arrival-Date: Mon, 30 Sep 2002 23:26:07 +0900

Final-Recipient: RFC822; cinik_worm@yahoo.com
Action: failed
Status: 5.1.3
Remote-MTA: DNS; mx2.mail.yahoo.com
Diagnostic-Code: SMTP; 553 VS10-RT Possible forgery or deactivated due to abuse - see http://...（略）
Last-Attempt-Date: Mon, 30 Sep 2002 23:26:08 +0900

--g8UEQ8P09195.1033395968/tornado.myhome
Content-Type: message/rfc822

Return-Path: 
Received: (from apache@localhost)
	by tornado.myhome (8.11.6/8.11.6) id g8UEQ7Q09176
	for cinik_worm@yahoo.com; Mon, 30 Sep 2002 23:26:07 +0900
Date: Mon, 30 Sep 2002 23:26:07 +0900
From: Apache 
Message-Id: <200209301426.g8UEQ7Q09176@tornado.myhome>
To: cinik_worm@yahoo.com
Subject: xxx.xxx.xxx.xxx <- 注：IP Address

PROC
processor	: 0
vendor_id	: GenuineIntel
cpu family	: 6
model		: 8
model name	: Pentium III (Coppermine)
stepping	: 6
cpu MHz		: 996.338
cache size	: 256 KB
fdiv_bug	: no
hlt_bug		: no
f00f_bug	: no
coma_bug	: no
fpu		: yes
fpu_exception	: yes
cpuid level	: 2
wp		: yes
flags		: fpu vme de pse tsc msr pae mce cx8 sep mtrr pge mca cmov pat pse36 mmx fxsr sse
bogomips	: 1985.74

以下（略）

IP Address やハードウェア情報が、cinik_worm@yahoo.com 宛に送信され、リターンメールとなっています。
たぶん、cinik_worm というユーザー名がワームに利用されていることが判明したので、 yahoo がアカウントを無効にしたのでしょう。
リターンメールにならなければ、感染に気づいたかどうか・・・。

このワームは、OpenSSL の脆弱性を悪用する「Slapper」の変種の一つである「Slapper.C」です。
応急措置として、/tmp 以下の .cinik などのワーム本体及び関連ファイルを削除するとともに、侵入ポートである 443 を塞ぐために「httpd.conf」の
Listen 443
をコメントアウトしました。

また手元に、雑誌の付録の redhat 7.3 の CD があったので、これをクリーンインストールすることにしました。

Red Hat Linux 8.0 が、2002.10.25 に発売されるとアナウンスがあるときに、今更 7.3 という気もしましたが、とりあえず手元にあったもので・・・。(^_^;)

Home