-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-AT-2000-0002 JPCERT/CC 緊急報告 - 年末年始休暇中に多発した攻撃について - 初 版: 1997/01/09 (Ver.01) 発 行 日: 2000/08/25 (Ver.04) 有効期限: 2000/08/31 最新情報: http://www.jpcert.or.jp/at/2000/at000002.txt ====================================================================== <状況説明> 年末年始にかけて、国内 / 海外を問わず非常に多くのサイトに対して以下 のような攻撃と侵入の試みが観測されています。 ・Sendmail R5 のセキュリティホールを悪用した攻撃 ・Anonymous FTP ディレクトリのパーミッション設定を悪用した攻撃 ・パスワード推測によるTELNET や FTP アカウントへの侵入の試み 1/7日以降、同種の新たな攻撃は確認されておりませんが、再発する可能性 もありますので、定期的にログをチェックするなど、十分なご注意を払われる ことを推奨します。 <想定される影響> 直接の影響としては、 ・パスワード・ファイルの盗難 ・システムへの不正侵入 が主ですが、一旦侵入されてしまうと、ルートのパスワードを見破られる等々 さまざまな影響が考えられます。さらに侵入されたまま放置しておくと、踏み 台となって、他のサイトに大きな迷惑を与える可能性もあります。 <Sendmail のセキュリティホールを悪用した攻撃の見分け方> Sendmail のログファイル中に /etc/passwd や .rhosts といった文字列を 含む行がないかどうかで確認できます。ログファイルは、典型的な BSD 系の システムでは /var/log/syslog* あるいは /var/adm/messages* 等ですが、実 際のログファイルのディレクトリー名やファイル名は、OS や設定等によって 異なります。 確認するためのコマンドの使用例は、次の通りです。 % grep /etc/passwd /var/log/syslog* % grep /etc/passwd /var/adm/messages* もし、それらの文字列を含む行があった場合は、Sendmail を利用した、シ ステムへの攻撃があったと考えられます。 さらに、それら行中にある Sendmail のメッセージ番号 (かぎ括弧のなかの 数字) と同じメッセージ番号を持つ行を探し、それら行の中に stat=Sent と なっているものがあれば、その攻撃が成功した危険性があります。 <対  策> これらの不正アクセスが成功した場合には、当該コンピュータに登録されて いる利用者のパスワードが流出している可能性があります。その場合には、再 発防止のため、少なくとも次のような対策をとられることを推奨します。 (1) Sendmail のバージョンアップ (2) Anonymous FTP の設定確認 (3) 全ユーザのパスワード変更 (4) シャドーパスワードの利用 (5) システムの再構築 なお、(1)(2)(4) については、今回不正侵入を受けていない場合でも、不正 アクセス予防対策として実行しておかれることを推奨します。 (1) Sendmail のバージョンアップ Sendmail を最新の版 (8.8.6) にバージョンアップします。Sendmail の 最新版は、以下の Anonymous ftp server 等から取得可能です。 ftp://ftp.sendmail.org/ucb/src/sendmail/ (2) Anonymous FTP の設定確認 Anonymous FTP のディレクトリの保護が正しい (Anonymous ftp のルート ディレクトリにファイルが書き込めない) かどうかを確認し、必要があれば 設定を修正します。また wu-ftpd を使用している場合は、最新版 (wu-ftpd 2.4) にバージョンアップします。最新版の wu-ftpd は、以下から Anonymous ftp で取得可能です。 ftp://wuarchive.wustl.edu/packages/wuarchive-ftpd/ 注) wu-ftpd は今年に入ってからセキュリティホール対策のバージョンアッ プが行われました。1/14以前に上記の国内サイトから入手した版の一 部は、旧版である可能性があります。ご確認の上、最新版に更新され ることをお勧め致します。最新版か否かの確認は、ファイルに対する     MD5 の結果を比較する事で行えます。 File wu-ftpd-2.4.tar.Z MD5 Checksum a1780e6a1e2b18b6614028fa8f945e14 MD5 のプログラムは、次のところにあります。 File http://www.cert.org/other_sources/tool_sources.html (3) 全ユーザのパスワード変更 登録している全ユーザのパスワードを変更します。その際には、容易に類 推されないようなパスワードを設定する必要があります。 (4) シャドーパスワードの利用 OS がシャドーパスワードの機能を提供しているならば、それを使用しま す。 (5) システムの再構築 入手したパスワードを用いて、TELNET や FTP などでシステムに侵入され ている可能性もあります。特にシステム管理者のパスワードが破られると、 ログを改ざんされたり、トロイの木馬をシステム内部に仕掛けられている場 合もあります。そこで、外部からのアクセスログを確認し、システムへの不 正侵入の可能性が否定できない場合には、システムの再構築を行う必要があ ります。 <参考情報> sendmail 8.8.5 については CERT(sm) Advisory CA-97.05 にも参考となる 情報があります。 http://www.cert.org/advisories/CA-97.05.sendmail.html wu-ftp 2.4 については CERT(sm) Advisory CA-95:16 にも参考となる情報 があります。 http://www.cert.org/advisories/CA-95.16.wu-ftpd.vul.html 最近のインターネットの不正アクセスに対する一般的な傾向は最新の CERT(sm) Summary に参考となる情報があります。 http://www.cert.org/summaries/CS-96.06.html - ---------- <JPCERT/CCからのお知らせとお願い> 今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな 不正アクセスに関する情報がありましたら、info@jpcert.or.jpまでご提供く ださいますようお願いします。JPCERT/CCの所定の様式 http://www.jpcert.or.jp/form.txt にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 - ---------- 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 - ---------- 1997 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、転載は2000年 8月31日以降は行なわないようにしてください。なお、これは、この文書の内 容が2000年8月31日まで有効であることを保障するものではありません。情報 は随時更新されている可能性がありますので、最新情報については http://www.jpcert.or.jp/at/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 - ---------- 更新履歴 2000/08/25 参照 URL の更新 1997/07/02 最新の sendmail のバージョンを 8.8.6 に変更 1997/01/29 wu-ftpd のリリース状況に関する説明を追加 sendmail のバージョン情報を更新、他 1997/01/09 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia iQCVAwUBOaYiPox1ay4slNTtAQF65gQAjjmW2WZhwaMbEzzD42hzsmi8xTPvAOM0 4nXe5ybjNRujfdA5Sau8reTFZvGIrDsmjTQH4kTRQUNUwtAukix+0rHHxkwTABuB SY/OcX6GCvktdBxT8q6YQtz5l6xSi2Cfp8/YbF80+9LWB817pdm9Bz4OniIZR/UU UjiS0mXSIpQ= =xH94 -----END PGP SIGNATURE-----