<Code Red トラブル>
2001/08/17改定
2001/08/11
このページは Code Redに振り回された1週間と今なお感染したサーバを放置している人たちに対する警告を含めて記載します。
[ いきさつ ]
2001年08月に入り、自宅のインターネット接続が異様に遅くなりました。普段は1Mbpsくらいでているですが8kbpsとISDNなみに低下、しかも、つながったり切れたりと非常に不安定。ケーブルの接続やモデムの再起動、さらには最近アップグレードしたルータのファームウェアが原因ではないかといろいろと調べました。
数日間原因がわからず、しまいには0.2Kbpsと昔の2400bpsモデムのような状態(しかもよく切れる)。仕方ないのでPHSを使って、自分の接続しているプロバイダのページのページを見ると。Code
Redの仕業ということが判明。めたりっくでこの問題が発生していることは知っていたが、まさか自分のプロバイダで発生するとは。。
[ もんだい ]
自分が契約しているプロバイダは、フレッツISDN/ADSLで固定IPアドレスを提供しており、追加料金でセカンダリのDNSまで対応してくれます。このため、私も含めここで自前のサーバ公開している人がおおく、被害が拡大したようです。
ご存知のとおり、Code Redに感染すると、その感染者(サーバ)が、ゾンビが仲間を求めるがごとく、さらなる生贄を探しだします。このときのトラフィックの量が半端でなく、このためインターネット回線の一部がパンク(実際には途中経路のルータがダウンしてしまう)状態になったようです。
自分のサーバはWindowsではないので、感染することはなかったのですが、前述のとおりレスポンスタイムの劇的な低下にほとほと困りました。
[ しゅうそく ]
2001/08/11現在、レスポンスという意味では、ほぼ復旧しています。
しかし、相変わらず感染したサーバがあるようで毎日のように、私のサーバに感染させようと仕掛けてきます。WebページのAccess
logがここ数日異様に大きくなっているので、このことに気づきました。
早くみんな対処してくれーということで、困ったちゃんたちのIPアドレスとそのアタック時刻をここに公開することにしました。この情報は1日分を1時間おきに更新しています。
気になるかたはご覧ください。 ここ
です。
この中で各行の終わりが"N"の場合 Code Red、"X"の場合 Code Red IIによるアタックです。
最近は、中国、韓国からアタックの困ったちゃんが多いようです。
[2001/08/17]追記
徐々にアタックは減少しています。
日付 |
件数 |
8/06 |
141 |
8/07 |
154 |
8/08 |
188 |
8/09 |
141 |
8/10 |
82 |
8/11 |
83 |
8/12 |
40 |
8/13 |
52 |
8/14 |
6 |
8/15 |
4 |
8/16 |
6 |
8/17 |
15 |
8/14のプロバイダによる 『コードレッドバスター』設置 によりアタックが劇的に減少しました。
ただし、100%は防ぎきれていないようです
戻る