-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-AT-2000-0003 JPCERT/CC 緊急報告 - phf CGI プログラムを悪用したアタック 初 版: 1997/08/05 (Ver.01) 発 行 日: 2000/08/25 (Ver.02) 有効期限: 2000/08/31 最新情報: http://www.jpcert.or.jp/at/2000/at000003.txt ====================================================================== I. 状況説明 JPCERT/CC は、Web サーバー (httpd) の CGI サンプル・プログラムにある セキュリティ上の弱点を悪用しようとする不正アクセスについて報告を受け取 りました。この攻撃は、国内外を問わず数多く行われています。 セキュリティ上の弱点を含む版の CGI サンプル・プログラムがインストー ルされており、かつ、それらのサンプル・プログラムが Web サーバーから実 行可能な状態になっているシステムでは、攻撃者に任意のコマンドを不正に実 行される可能性があります。この弱点が利用されると、ホストのパスワード・ ファイル等のセキュリティ上重要なファイルや情報を不正に盗まれる可能性が あります。 JPCERT/CC は、直ちに不要な CGI サンプル・プログラムを実行できなくす る、あるいはバージョンアップすることを推奨します。 II. 想定される影響 直接の影響としては、 ・不正なコマンドの実行 と、それによる ・パスワード・ファイル等のセキュリティ上重要なファイルや情報の盗難 が主です。また、それらを利用してシステムに侵入されてしまうと、管理者用 アカウント (root) のパスワードを見破られる等々さまざまな影響が考えられ ます。さらに侵入されたまま放置しておくと、踏み台となって、他のサイトに 大きな迷惑を与える可能性もあります。 III. CGI サンプル・プログラムを悪用したアタックの見分け方 httpd のログファイル中に、/phf という文字列を含む行があるか確認しま す。 ログファイルは、典型的な httpd のインストールでは /usr/local/etc/httpd/logs/access_log* 等ですが、実際のログファイルのディ レクトリ名やファイル名は、OS や設定等によって異なります。 確認するためのコマンドの使用例は、次の通りです。 % grep /phf /usr/local/etc/httpd/logs/access_log* もし、それらの文字列を含む行があった場合は、CGI サンプル・プログラムを 悪用したシステムへの攻撃が行われた可能性があります。 さらに、それら行中に記載されている HTTP のステータス・コードが 200 であれば、その攻撃に成功した可能性があります。 また、httpd が稼働しているホスト上で、不審なプロセスが動作している場 合、それらはこの攻撃によって起動された可能性があります。確認の上、直ち にそれらの不審なプロセスを停止することを推奨します。 IV. 対策 不正アクセスが成功した場合には、当該ホストに登録されている利用者のア カウント名とパスワードが流出している可能性があります。その場合には、再 発防止のため、少なくとも次のような対策をとられることを推奨します。 (1) CGI サンプル・プログラムを削除あるいは実行不可能にする、もしく はバージョンアップする (2) シャドーパスワードを利用する (3) 全ユーザのパスワードを変更する (4) システムを再構築する なお、(1)(2) については、今回不正アクセスを受けていない場合でも、予 防対策として実施しておかれることを推奨します。 (1) CGI サンプル・プログラムの設定変更、またはバージョンアップ phf をはじめとするサンプルの CGI プログラムは、不要であれば削除す ることができます。JPCERT/CC は、phf に限らず、不要な CGI プログラ ムは放置せずに削除するか、あるいは httpd から起動できないような設 定にしておくことを強く推奨します。なお詳細については、V 章の参考情 報に示した CA-96.06.cgi_example_code を参照してください。 (2) シャドーパスワードの利用 OS がシャドーパスワードの機能を提供しているならば、それを使用しま す。 (3) 全ユーザのパスワード変更 登録している全ユーザのパスワードを変更します。その際には、容易に類 推されないようなパスワードを設定する必要があります。 (4) システムの再構築 入手したパスワードを用いて、TELNET や FTP などでホストに侵入されて いる可能性もあります。特にシステム管理者用アカウントのパスワードが 破られると、ログを改ざんされたり、トロイの木馬をシステム内部に仕掛 けられたりする場合もあります。そこで、外部からのアクセスログを確認 し、ホストへの不正侵入の可能性が否定できない場合には、システムの再 構築を行う必要があります。 V. 参考情報 CGI サンプル・プログラムへの攻撃については、以下の参考資料もご覧くだ さい。 http://www.cert.org/advisories/CA-96.06.cgi_example_code.html http://www.cert.org/advisories/CA-97.07.nph-test-cgi_script.html ftp://ftp.auscert.org.au/pub/auscert/ESB/ESB-97.047 WWW のセキュリティ全般についての情報は、以下をご参照ください。 http://www.w3.org/Security/ Apache についての最新情報、および入手方法についての情報は、以下から 入手することができます。 http://www.apache.org/ NCSA HTTPd についての情報、および入手方法についての情報は、以下から 入手することができます。 http://hoohoo.ncsa.uiuc.edu/ ________ <JPCERT/CC からのお知らせとお願い> 今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな 不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供く ださいますようお願いします。JPCERT/CC の所定の様式 http://www.jpcert.or.jp/form.txt にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 _________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 _________ 1997 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、転載は2000年 8月31日以降は行なわないようにしてください。なお、これは、この文書の内 容が2000年8月31日まで有効であることを保障するものではありません。情報 は随時更新されている可能性がありますので、最新情報については http://www.jpcert.or.jp/at/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 _________ 更新履歴 2000/08/25 参照 URL の更新 1997/08/05 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia iQCVAwUBOaYiWox1ay4slNTtAQGi/wP+LziDNNTIzIBLyPPx1sLTEd6qQ18orfDt Fv2mG37kUOuS+oZCeOJZUcX90Jzj46J66RRDGedCE+0fgj6Qg5XqgjKfChVqaPyW OlpCOmfD+gp3wtwPqtWE0Z8QMGje3UeeesDH2ZYMgYav1ukEKiaai1eOpST20sjm iUJ2CzSC6F8= =UGkE -----END PGP SIGNATURE-----