★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 838.html
 ★阿修羅♪
次へ 前へ
最近のサーバ攻撃 (6)【1・2・3・4・5・6・著作-日本ネット雑誌研究所】
http://www.asyura.com/0306/it01/msg/838.html
投稿者 愚民党 日時 2003 年 9 月 04 日 11:03:01:QeeQrBW7FOUsw

(回答先: 最近のサーバ攻撃 (5) 投稿者 愚民党 日時 2003 年 9 月 04 日 10:35:43)


-------------------------------
最近のサーバ攻撃のトレンド(流行)。つまり見えない戦いの状況をわかりやすくご紹介するコーナーです。
(2002/2/2)

1.Nimdaはどうなった?

http://www.netpub.tsuzuki.yokohama.jp/j/server/list-2002-02-02.html

あいかわらず攻撃があります。1日平均5件〜7件程度の攻撃を受けています。みなさん注意してください。日本国内からの攻撃は無くなりましたが、攻撃元は韓国がとても多く、わざとではないとしても、いいかげん韓国のネットワーク管理者のレベルの低さにはあきれています。もっとまじめに管理してほしいものです。ちなみに、CodeRedは完全に終息しています。


2.(*o*)バッド・トランスが・・
12月〜1月は「W32.Badtrans.B」ウイルスの添付されたメールが良く到着しました。
本当に迷惑なメールですよね。僕はNetScapeのメール機能を利用していたため被害はありませんでしたが、10通以上メールが届きました。被害にあった人のパソコンから発信されているわけなので、ほっておくのも人の道に外れると思い、警告メールを作り、ウィルスの被害にあった人達へ送りました。届いた人がしっかり対応してくれることを祈るばかりです。ところで、このウィルスのパターンをウィルス検出ソフトに登録したところ予想もしないトラブルに遭遇してしまいました。それは、ウィルス付きのメールを受信したときの話、ウィルス検出ソフトが「ウィルスのファイルを削除しますか?」と聞いてくるのですが、そこで「はい」を指定して、メール機能の画面に戻ったら、過去の受信メールがすべて消滅しました(TT)。

(**;「なぜじゃ?ウィルス付きメールを削除したはずで、全受信メールを削除した覚えはないぞ!」と思い、しばらく凍りついていました。メールの受信箱のバックアップを取っていたので、それほど打撃はありませんでしたが、良く考えたら、受信メールはひとつひとつfileで管理されているわけでなく、「受信箱」という1つのFILEに蓄積されていることを思い出しました。

つまり、「ウィルスのファイルを削除しますか?」ということは、すなわち、メールの格納されたファイル「受信箱」を削除することを聞いていたのです。ここで「はい」と答えたのですから、ウィルス対策ソフトは「受信箱」そのものを削除してしまったのです。こうして、過去の受信メールはすべて消滅したというわけです。

さて、これでは「受信箱」に入り込んだウィルス付きメールは永遠に削除できないことになります。こんなものを入れておいて、いつ、このメールの添付ファイル(ウィルス)を実行するやも知れません。ということで、本気で削除することにします。そのウィルス付きメールを反転させ「削除」をクリックします。ここで、ウィルス対策ソフトがウィルスを検知して警告をしてきますが、「継続(続行)」を指定して削除処理を遂行します。これで、ウィルス付きメールは削除箱(Trash)に入ります。

ところがです。。受信箱から消えているはずなのに、この箱をアクセスするたびにウィルス対策ソフトがウィルスを検知して警告するようになりました。(??)「なぜ?削除したのに?」ここでも凍りつきました。良く良く考えたら「削除フラグだけが立って、データそのものは消されてないのかも・・」と思いあたりました。そこで、ためしに「フォルダを圧縮」を実行して、受信箱を圧縮してやることにしました。ここでも、ウィルス対策ソフトがウィルスを検知して警告してきますが、無視して「継続(続行)」すると、完全に、受信箱からウィルスデータが消滅し、以降、ウィルス対策ソフトがウィルスを検知することはなくなりました。(^^;削除箱(Trash)に入っているウイルス付きメールも同じように削除して「フォルダを圧縮」してやるとウィルスのデータを消せることがわかりました。途中、何度もウィルス対策ソフトがウィルスを検知して警告してきますが、「継続(続行)」を指定し処理を続ければ、ウィルス付きメールを確実に消せることがわかりました。それにしても、ウィルス対策ソフトとメール機能の相性の悪さを発見してしまいました。


3.12345ポートを狙う攻撃の意味
現在は終息しましたが、12345ポートを狙った攻撃が去年からありました。記事で取り上げられる前からあって、「なぜ?」と思っていたのですが、最近、そのポートを攻撃する意味が記事として紹介されていました。以下のURLを参照してください。本サイトのイントラネットのクライアントにはウィルスバスターを使っていないので影響はありません。また、12345ポートについては初回の攻撃検出からフィルタリングの定義に追加されているので、攻撃はまったく無意味なものになっていました。
http://www.zdnet.co.jp/news/bursts/0201/25/01.html


4.SSH(22)ポートを狙う攻撃
Linuxサーバについて言うと、去年、telnetとsshのセキュリティホールが報告されていました。インターネットでその記事を見たとき、SSHポートを狙う攻撃が増えるだろうと思っていたら、案の定です。最近、頻繁に、SSHポートをたたくアクセスがやってきます。(^^;このサイトは別のページにも記述していますが、FTP、TELNET、SSHのような外から入り込めるポートはすべて閉鎖しています。毎日、SSHポートをたたいてくる犯罪者の対応を要求するため、苦情メールを作っては、ネットワーク管理者へ送信しています。もし、外から入り込めるポートが開けてあれば、パッチによる修正をしてない限り、Linuxサーバといえども安全ではありません。


5.NetBIOS(137ポート)を狙う攻撃
現在も続いている攻撃にNetBIOS(137ポート)を狙う攻撃があります。イントラネットではWindowsクライアントを使っていてNetBIOSが関係してきますが、外部のインターネットゾーンは、すべてLinuxサーバですので、NetBIOS(137ポート)を狙う攻撃はまるで意味がありません。それでも、何を期待しているのかわかりませんが、特定のサーバへしつこく攻撃をかけてきます。苦情メールを作れないほど、多くの場所から来るので放置状態ですが、仕方ないので、別におとなしくさせる手立てをこうじています。


6.IDSの検出を逃れるためのめずらしい攻撃パターン
最近、新しいスキャンパターンを発見しました。以下にログを紹介します。

Source
(送信元)
212.74.101.6
212.74.101.6
212.74.101.6
212.74.101.6
212.74.101.7
212.74.101.7
212.74.101.5
212.74.101.5
212.74.101.9
212.74.101.9
212.74.101.6
212.74.101.6
212.74.101.6
212.74.101.6 Destination
(送信先)
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ
本サイトのサーバ Protocol
(プロトコル)
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP Info
(内容)
80 > 1053 [SYN, ACK] Seq=1981021495 Ack=871667775 Win=17520 Len=0
80 > 1053 [RST, ACK] Seq=1981021496 Ack=871667775 Win=17520 Len=0
80 > 1170 [SYN, ACK] Seq=2952003741 Ack=58483698 Win=17520 Len=0
80 > 1170 [RST, ACK] Seq=2952003742 Ack=58483698 Win=17520 Len=0
80 > 1219 [SYN, ACK] Seq=4121110396 Ack=4077289401 Win=17520 Len=0
80 > 1219 [RST, ACK] Seq=4121110397 Ack=4077289401 Win=17520 Len=0
80 > 1076 [SYN, ACK] Seq=3765775379 Ack=1408756051 Win=17520 Len=0
80 > 1076 [RST, ACK] Seq=3765775380 Ack=1408756051 Win=17520 Len=0
80 > 1097 [SYN, ACK] Seq=207536239 Ack=871667775 Win=17520 Len=0
80 > 1097 [RST, ACK] Seq=207536240 Ack=871667775 Win=17520 Len=0
80 > 1107 [SYN, ACK] Seq=4012655269 Ack=2482867068 Win=17520 Len=0
80 > 1107 [RST, ACK] Seq=4012655270 Ack=2482867068 Win=17520 Len=0
80 > 1261 [SYN, ACK] Seq=1470080891 Ack=1945778792 Win=17520 Len=0
80 > 1261 [RST, ACK] Seq=1470080892 Ack=1945778792 Win=17520 Len=0

なぜ、このパケットたちが特別かというと、一見、このパケットは212.74.101.5〜9のWWWサーバへアクセスし、その応答パケットのように見えるからです。(^^;良く考えてください。212.74.101.5〜9のひとつひとつがWWWサーバだなんて、ふつーは考えられないでしょう。こちらのサイトから、こまめにひとつひとつWWWサイトを見ていたというのでしょうか?それに、伏字のIPアドレスこそが本サイトのWWW専用サーバであり、ファイアウォールではないのです。したがって、伏字のIPアドレスから212.74.101.5〜9のWWWサーバへページを見るためのアクセスが出ることはありません。

一番奇妙なのは、このパケットたちには「SYN,ACK」「RST,ACK」がつけられていて、こちらの応答を期待している!というわけです。そして、仮に1024より上のポートでサービスが開いていた場合、応答が返送されるわけなので、りっぱなポートスキャンとなります。この手の方法はIDSの検出を逃れるためにやっているものと予想します。

どういう場合に、この手のスキャンをするかといえば、IDSが構築されていて、IDSから自分が行っているスキャンの検出を逃れるためと、サーバシステムの制御のためのポート(telnetやssh)がリダイレクト定義により1024より上のポートに設定されていると仮定しポートスキャンをする場合です。こうして考えてみると、今回のこのポートスキャンはきわめて悪質だと言わざるを得ません。


用語:IDS(Intrusion Detection System)
不正侵入検知システム。ネットワークに流れるパケットを常時監視し、ポートスキャンやDoS(Denial of Service)・DDoS(Distributed DoS)攻撃などの不正アクセスを検知するシステムの総称。本サイトも自前で構築し、独自の検出手法を取っている。日本では先駆けになる。

--------------------

 次へ  前へ

IT1掲示板へ


フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。