現在地 HOME > 掲示板
> IT1 > 834.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 834.html
★阿修羅♪
|
|
(回答先: 【サーバー管理室】最近のサーバ攻撃(1) 投稿者 愚民党 日時 2003 年 9 月 04 日 10:11:47)
---------------------------
最近のサーバ攻撃のトレンド(流行)。つまり見えない戦いの状況をわかりやすくご紹介するコーナーです。
(2003/2/8)
1.WEBサーバへの攻撃。これはいったい・・?
http://www.netpub.tsuzuki.yokohama.jp/j/server/list-2003-02-08.html
先日はマイクロソフト社製のSQLサーバに感染するワーム(シマンテック:W32.SQLExp.Worm、ネットワークアソシエイツ:W32/SQL Slammer、ソフォス:SQLSlammer、トレンドマイクロ:WORM_SQLP1434.A)が世界中のネットワークを席巻しました。近くでは韓国のネットワークがマヒしてしまったとニュースで紹介されました。直接、SQLサーバをインターネットへ接続しているというのも非常識ですが、去年、出されていた修正(パッチ)を当てていないというのは本当に常識を疑ってしまいます。
韓国のお国柄とでもいいましょうか。。(^^;管理に全然コストをかけてない証拠ですね。
1/25(土)に爆発的に被害をもたらした、このワーム。最近では、めっきりスキャンが少なくなりました。でも、まだチョロチョロと流れていますので、注意してください。「もう大丈夫だろう」と思って新規にSQLサーバを再インストールしてそのままインターネットへ接続すると、確実にエジキになります。このワーム、マシンの持つ力の限りスキャンしまくるそうで、マシン自体もダウンしてまうくらいネットワークへアクセスするそうです。ですから、感染すると周囲のネットワークをマヒさせる危険があります。故意でないにしても、この場合、修正(パッチ)をあてないことは犯罪に等しいと思います。
さて、今週の月曜(2/3)に本サイトのWEBサーバに対して不正なリクエストがありました。
頻繁に行われる攻撃ではないのですが、4ヶ月に1度程度見られる決まったパターンの攻撃でした。以下に監視サーバのログを紹介します。
Source
(送信元) Destination
(送信先) Protocol
(プロトコル) Info
(内容)
攻撃者ホスト WWWサーバ HTTP GET http://irc.stealth.net:5558/ HTTP/1.1
WWサーバ 攻撃者ホスト TCP 80 > 1817 [ACK]
WWWサーバ 攻撃者ホスト HTTP HTTP/1.1 200 OK
WWWサーバ 攻撃者ホスト HTTP Continuation (本サイトのトップページを送信)
・・・・・
攻撃者ホスト WWWサーバ TCP 4369 > 80 [ACK]
攻撃者ホスト WWWサーバ HTTP CONNECT maila.microsoft.com:25 / HTTP/1.0
WWWサーバ 攻撃者ホスト TCP 80 > 4369 [ACK]
WWWサーバ 攻撃者ホスト HTTP HTTP/1.1 400 Bad Request (不正リクエスト!)
WWWサーバ 攻撃者ホスト TCP 80 > 4369 [FIN, ACK]
攻撃者ホスト WWWサーバ TCP 4369 > 80 [ACK]
攻撃者ホスト WWWサーバ HTTP CONNECT maila.microsoft.com:25 / HTTP/1.0
攻撃者ホスト WWWサーバ HTTP CONNECT maila.microsoft.com:25 / HTTP/1.0
・・以下繰り返し。「Bad Request」以降、本サイトの「防衛機能」が動作し、リクエストが全て遮蔽されています。
本サイトではWWWサーバにApacheを使っています。従いまして、Proxy(串)サーバをアクセスするリクエスト(GET http://irc.stealth.net:5558/ HTTP/1.1)には、もともと反応しません。今回、http://irc.stealth.netへのアクセス要求ですが、これに対応できず、本サイトのトップページを返信しているだけです。通常、人間がアタック(攻撃)をかけている場合、HTMLソースを見て、攻撃をやめるはずです。ところが、何を間違えたのか、本サイトのトップページをhttp://irc.stealth.netのページだと誤解して、次に「CONNECTコマンド」を送信する様子がうかがえます。
この「CONNECTコマンド」とはどんなものでしょうか?
IRC(チャットサーバのこと)をしたことがない僕はこのコマンドを検索エンジンで調べました。以下がこのコマンドの説明です。
コマンド: CONNECT どうみても、マイクロソフト社のメールサーバへ接続したがっているように見えます。WEBサーバのシステム情報をメール送信したいのであれば、わざわざ最初にhttp://irc.stealth.netへの要求を出す必要はなく、WEBサーバの「バッファオーバーフロー」のコードを送信すれば済むことです。この場合、監視ログは違ったものになります。このような通信の動きは、どうも、自宅のWEBサーバをProxy(串)サーバと間違えて、ここを踏み台にして「パソコンの個人情報をメール送信するウィルス」の攻撃ではないかと推測しました。 2.ついにみつけた!ウィルスの正体 ウィルスの調査も検索エンジンを使って行いました。個人情報をメール送信するウィルスというのは「トロイの木馬型ワーム」と呼ばれています。irc.stealth.netと関係するこの種のウィルスということで検索したところ。「TROJ_PRETTY_PARK:別名 PE_PRETTYPARK, PRETTYPARK.WORM, TROJ_PSW.CHV, W32.PRETTYPARK 」だと判明しました。このウィルスはかなり、古いもので、発見されたのが1999年9月。感染するOSは「WINDOWS95/98,NT」になっています。こちらのWEBサーバへのアクセスが頻繁ではなく、大きな周期で観測されることからウィルスが自動でスキャンして作った「Proxy(串)サーバ・リスト」を利用して、定期的、かつリストに登録されている順にアクセスしているのかもしれません。 以下に本ウィルスに関連するURLを示しますので、コンピュータ・ウィルス感染の心当たりのある方はすぐに検査&駆除するようにしてください。 といっても、今回はイタリアのネットワークからの攻撃で、攻撃者(ウィルスの被害者)はダイアルアップでインターネットを利用しているようです。今後、頻繁に今回のような攻撃が続く場合、関連するネットワークの管理者へ通報するつもりです。今の時代、ウィルスの被害者とても、サーバへの攻撃者になるということを十分理解してください。 3.ウィルス被害者の個人情報はわかったのか? 本サイトのWWWサーバがProxy(キャッシュ)サーバでない点(といっても、クラッカー(攻撃者)は信用しないとは思うけど)、メールサーバへのCONNECTコマンド検知でセションを本サイトの中継(ゲートウェイ)サーバが切断していることにより、メール送信の段階に入っていません。ですから、個人情報は知るよしもありません。それよりも、興味があるのは「メール送信のあて先のEメールアドレス(ウィルスの作者)」です。しかし、本サイトはProxy(キャッシュ)サーバをもたないため、どちらの情報も知る手立てはありません。 ★マイクロソフト社は上記メールサーバのアカウントに不審者がいないか調べてほしいものです。 たまたま、本サイトがProxy(串)サーバの中継(踏み台)としてターゲットにされたおかげで、このような仕組みがわかりましたが、なにも、本サイトでなくても、Proxy(串)サーバはインターネット上に無数にあります。このすべてが、IRCを経由した踏み台にされる危険性を持っていること。みなさん、よーーーく、理解してほしいと思います。 被害者のパソコン Proxyサーバ --------------------------------------------------------------------------------
パラメータ:
CONNECTコマンドはサーバに、ほかのサーバに新しい接続をすぐに確立するよう要求するのに使います。
CONNECTは特権的なコマンドで、 IRCオペレータのみ使用可能とする「べき」です。
http://inet.trendmicro.co.jp/virusinfo/isp/default3.asp?VName=WORM_PRETTYPARK
http://www.vcon.dekyo.or.jp/damage/rankdata/page25.html
★ウィルス★
[個人情報] →→→→→→→ IRCへ接続、ここを「踏み台」にする。
↓
IRCサーバ
メールサーバへ接続を行い[個人情報]を送信する。
↓
メールサーバ
ウィルス作成者のメール箱
にメールが届く。
ウィルス作成者 ←←←←←←← [メール箱]
題名には必ず「阿修羅さんへ」と記述してください。