現在地 HOME > 掲示板
> IT1 > 837.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 837.html
★阿修羅♪
|
|
(回答先: 最近のサーバ攻撃 (4)意外な落とし穴。。それは「レンタルのADSLモデム」でした。 投稿者 愚民党 日時 2003 年 9 月 04 日 10:28:44)
--------------------------
最近のサーバ攻撃のトレンド(流行)。つまり見えない戦いの状況をわかりやすくご紹介するコーナーです。
(2002/6/5)前回から4カ月・・ぜんぜんホットじゃない(ToT)。
1.ウーム。。防衛庁の情報公開請求者のさらし事件について
http://www.netpub.tsuzuki.yokohama.jp/j/server/list-2002-06-05.html
恐ろしい話が現実のものとなりました。
おそらく、「終戦後、最大のスキャンダル」と言って良いでしょう。TVによると身上調査資料は「LAN内で公開されていた」ということですから、一般社会で言えば、社内のネットワークに情報公開を請求した人達の身元がさらされていた(さらし者にされていた)ということです。。。非常に、後ろ向きな態度といわざるを得ません。国民を守る前に組織を守る!!別のページにも書きましたが、不祥事の隠蔽が起こる土壌にあると断言せざるを得ないです!!つまり、憲法9条という「歯止め」は取ることはできないということになりますね。
しかし、これが日本国民を守る組織の姿だと思うと。。。(TT)真に泣けてくる。
個人情報が、こんなに軽く扱われるのであれば、今、推進している「住民基本台帳の電子化」は慎重にしたほうが良いのではないかと思います。自分だけは大丈夫だと思っている、そこのあなた。知らない別のグループが、こっそりあなたの個人情報を内輪で回覧してたりしますよ。そんな、なんでもありの世界にしたいですか??
2.(*o*)Spidaワームが・・
最近の攻撃の主流は、WindowsのSQLサーバに感染するSQLSPIDA(Spida) ワームです。このワームはポート1433をたたいてくるのでわかります。新聞記事によれば、最近、収束したようなことが書かれていますが、ぜんぜん収束しておらず、海外からの攻撃が多く、コンスタントな攻撃量になっています。国内について言えば、今日現在までに、3箇所からの攻撃を検出し、それぞれの管理者に対し対応メールを出しています。
このワーム。1433ポートからsaでログイン、パスワード無しで接続し感染するというワームです。SQLサーバをデフォルトでインストールするとこうなっているらしいのですが。。これではあまりにお粗末ですね。インストール直後が「好きにして!!」状態だなんて。このワームはザルになっている管理者のパスワードをザルにならないよう設定し、ついでに作者が入れるようユーザアカウントも同時に組み込むそうです。
(^^;まさか、このような状態のSQLサーバに重要なデータを登録しておくバカタレはいないと思いますが、もし、そうだとしたら・・・このワームは自分から「全世界に向けて、私はここよ!」と教えているようなものですから、途中の中継サーバをクラックして、パケットをモニタしてる悪い人間がいたとしたら、このワームの作者でなくても、代わりに感染したSQLサーバに入り込み、データを持ちさっていくことでしょう。まったく、なんと迷惑なワームなんだろう。このようなサーバにデータを格納する間抜けなサーバ管理者がいないことを祈るばかりです。
3.NBSTATによるクラック行為
以前から、止まない攻撃にNBSTATによる不正アクセス行為があります。ほとんどのネットワークにおいてNetBIOSのポートを開けておくところはないと思いますが、今にいたるまで、国内海外を問わずこの不正アクセスをしてきます。これは、もともとWindowsに「該当するシステムの共有リソースを知るコマンド」があるのですが、そのコマンドを投入しているようです。監視サーバには以下のようなログで記録されます。
Time
(時間) Source
(送信元) Destination
(送信先) Protocol
(プロトコル) Info
(内容)
2002-06-04 05:46:40.1410
2002-06-04 05:46:41.6351
2002-06-04 05:46:43.1367 **.***.**.***
**.***.**.***
**.***.**.*** WWWサーバ
WWWサーバ
WWWサーバ NBNS
NBNS
NBNS Name query NBSTAT *<00><00><00><00>
Name query NBSTAT *<00><00><00><00>
Name query NBSTAT *<00><00><00><00>
コマンドの投入により、該当するホストの共有リソースを知ることができますので、もし、そのような資源が発見できたとしたら、次のステップは実際にその資源(たとえば「共有ファイル」など)をアクセスして、データを持っていくという行為に及ぶと予想されます。きわめて典型的なパターンですので、この行為に対する対策は、中継ポイントにこれ専用の網をかけておくだけで良く、いずれ犯人は特定できると思います。また、単純にアクセスポイントなどで、これをゴミパケットだとみなし、フィルタリングにより遮断しておくのも良いかと思います。
4.WWWブラウザで見える情報って。。盗んだことになるの???
通常、WWWブラウザで見えるページって、「公開用のページ」だと思いますよね。
ところが、最近、単に、この行為をしただけで、重要な個人情報が漏れてしまった事件が発生しました。思えば。。僕にも、そういう未熟な時代がありました。それは、今のようにシステムを構築して運用をする前の「幼虫時代の話」です。当時、ISP(インターネットサービスプロバイダー)に場所を間借りしてホームページを作っていましたが、その時、CGIで掲示板を作っていました。掲示板のデータは同じディレクトリ内にファイル出力しただけのものでしたから、見ようと思えば、WWWブラウザで直接ファイルを見ることができました。今回の事件も、それと同じようなものです。
今は、僕も成長して、重要なCGIソースはディレクトリを分けて、まったく別の見えない場所に置く方法を取っています。もちろん、重要なデータはWWWサーバに置かない設計にしています。多くのサイトではWWWサーバから入力したデータは、そのまま、そのサーバに蓄積することが多いのではないでしょうか。。上記の未熟な事件は論外にしても、WWWサーバに重要なデータを置く方法は、いずれ、WWWサーバがクラッカーにクラックされ、データが持ち出されるというリスクを覚悟しなければならないと思います。
関係ない話になりますが「robots.txt」についてです。
このファイルは「ロボット型検索エンジン」用の命令を記述するファイルです。「ロボット型検索エンジン」とはGooとかInfoseekとか検索のサイトが自分のページを登録してくれるために自動で参照しにくるのですが。。この参照を行うエンジンの名前を言っています。この参照がきた時ですが、自分のページに登録してほしくない「都合の悪いページ」があった場合、「robots.txt」を使い、登録しないよう指示することができます。
(^^;でも、上記で話したように・・WWWブラウザで「robots.txt」の内容が見えたりしますので。。。ここに、「都合の悪いページ」情報を書くことは、まずいと思います。よく、あるのですが「ロボット型検索エンジン」でもないのに、この「robots.txt」だけを見ようとする人が。。(^^;ということで、本サイトの「robots.txt」は作ったはじめから何も記述してありません。(^^)残念でした!
--------------------------------------------------------------------------------
題名には必ず「阿修羅さんへ」と記述してください。