【Orbit Downloader】ネットが通じなくなった【解決済み】
ネット上の単なるログとして残しておきます。何かの役には立つはずです。
症状
とつぜん会社でネットが使えなくなった(社内から社外のウェブに接続できない)。
また、外部からのアクセスで会社のホームページが見れなくなった(社外から社内のサーバーへの接続が重い)。
これはルーターに強い負荷がかかっていたためらしい。
解決
最近インストールされた Orbit Downloader というソフトをアンインストールすると解決した。
その後、問題解決の確認のために以下の記事を読んだ。
Orbital Decay: the dark side of a popular file downloading tool | WeLiveSecurity(英語:問題発見の一次ソース)
人気ダウンロードツール「Orbit Downloader」にDDoS攻撃用のコンポーネントが含まれていたことが判明 | スラド
経緯
端的な説明は以上。興味あるひとは以下を読んでください。
発覚
問題が発覚したのは9月4日(水)の正午だった。
普段より早めに出社し、インターネット等を使って作業をしていたが、それから1時間ほどたったころに突如ネットができなくなった。というか、接続が異常に重い状態になり、タイムアウトになるという感じ。
また、携帯やモバイルルーターを使って会社のホームページを閲覧しようとすると、やはり異常に重くタイムアウトしてしまう。
この問題により、メール等もできなくなり、社内全体でほとんど仕事にならなくなった(ちなみにぼくの会社はネットワーク関係の会社ではない)。
この時点では気づかなかったが、別の社員がパソコンを立ち上げたタイミングでこの症状が起きていたのだった。
対策を試みる
非常に暑い部屋にルーター、サーバー、メディアコンバーター(ONU)を置いていたので、これが理由ではないかと疑い、電源を切り、30分ほど放置し、再起動を繰り返した。
結果、5分ほどネットが通じたあと、ある時点で不通になった。
ググりまくったが、原因がわからない。
ここでお手あげ、外注のネットワーク担当者および、プロバイダーのテクニカルサポートに連絡をして状況を話す。
ぼくが疑っていたのは、外部のネットワークのどこかで雷でも落ちたんじゃないかとかいうものだ。
業者の対応
外部のネットワーク担当者によると、PINGが通っているがレスポンスに3秒以上かかっており、極端に重いので、海外の掲示板にリンクが貼られ、そこから大量アクセスがきているのではという推測だった。指示された通り、Tera Term を立ちあげサーバーのアクセスログを監視する。しかしあやしいアクセスは見当たらない。
この時点で、ぼくはルーターあるいはONUあたりの故障を疑いはじめた。
まったく仕事にならないまま退社したところ、サーバー復旧(実は重かったのが解決しただけだが)のメールが携帯に入る。このメールは、Pingdomというサービスを使って会社のサーバーを監視させているもので、落ちたときと復旧したときに入るものだ。
この時点で薄々気づいたのは、問題の発生が、会社の始業/終業時刻の間でぴったり起こっていることだった。問題は社内の誰かのパソコンにあるかもしれないという小さな疑いがわいた。
翌日も始業時刻にぴったりサーバーが落ちたメールが入った。また、ネットもつながらない。20分間だけこの症状が続き、それ以降は解消された。
実は、この解消はある社員が用事で社外へ出て行った時刻とぴったりあっていた。
この日は、問題の特定が済んでないので再発防止対策を求めてプロバイダーのテクニカルサポートに電話をして相談をしたが、「記録によるとその時点で障害は起こっていません。お手数ですが、障害が起こったときに改めて連絡をください、リアルタイムで調べる必要があります」と返答された。
その日いちにちは、ネットも問題なく使え、メールの送受信もでき、かつまた外部から会社のホームページも障害なく見ることができた。
終業まぎわになって、当該の社員が社用を終えて帰社したところ、即座に障害が発生した。すでに目星はつけていたので、パソコンを再起動させたところ、一時的に障害が解消する。ここでその社員が「実は昨日入れたフリーソフトがあるんだけど、それかなぁ」と言いはじめた。
Orbit Downloader である。
ぼくは知らないソフトだったが、ネット上ではある程度評価を得ていたソフトであり、8月の末になってこれが突如(おそらくアップデートによって)トロイの木馬へと変貌した模様。得体の知れないソフトを入れたわけではなく、「ある程度評価されていた」ぶん、その社員のことはあんまり責められない。
とりあえずアンインストールさせると、再起動するまでもなくネットワーク不全が解決した。
このソフトは結果的に、社内から社外へと出て行く膨大なアクセスを試みていたために、ルーターに異様な負荷がかかっていたらしい。社会に迷惑をかけていないといいのだが。
アフターストーリー
今日のところはネットワークは問題なく使えている。しかし、アンインストールという対策はしたものの、他にこのソフトが残していったトロイの木馬的なものの残滓がいつか問題を起こさないかとおびえているところだ。