-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2001-0023 JPCERT/CC 2001-09-19 <<< JPCERT/CC Alert 2001-09-19 >>> 80番ポート (HTTP) へのスキャンの増加に関する注意喚起 Increase in Port 80 (HTTP) scanning activity http://www.jpcert.or.jp/at/2001/at010023.txt JPCERT/CC では、80番ポート (HTTP) への大量のスキャンが広範囲に渡って 行なわれているとのインシデント報告を多数受け付けています。2001年9月19 日現在、JPCERT/CC が確認した範囲では、これらのスキャン行為は Code Red II や sadmind/IIS ワームなどの、Microsoft IIS の既知の脆弱性を悪用して 感染・増殖を行なうワームによって作成されたバックドアからの侵入、および 他の既知の脆弱性を悪用したシステムへの侵入を試みているものと考えられま す。 したがって、Code Red II や sadmind/IIS ワームが悪用する脆弱性を修正 するパッチなど、IIS に関する既知の脆弱性を修正するパッチが適切に適用さ れている Microsoft IIS や、IIS 以外の Web サーバプログラムを使っている 場合は、このスキャンの結果としてシステムに侵入されるなどの危険はないと 思われます。しかしながら、適用されたパッチの内容を確認するなど、このス キャンによって探査されている弱点が本当に存在しないことを改めて確認する ことを強くお勧め致します。 I. 確認すべき点 (1) バックドアの確認 Code Red II もしくは sadmind/IIS ワームの感染により作成されたと考え られるバックドアプログラムの有無を確認してください。このバックドアプロ グラムは次のようなファイル名で保存されていることがあります。 C:\inetpub\Scripts\root.exe C:\Program Files\Common Files\system\MSADC\root.exe D:\inetpub\Scripts\root.exe D:\Program Files\Common Files\system\MSADC\root.exe これらのファイルのうち 1つでも存在する場合は、すぐに削除してください。 また、Code Red II に感染した場合の対処方法については以下の URL で示さ れるページをご覧ください。 Code Red による深刻な問題に対する防護策と対処方法についての説明 http://www.microsoft.com/japan/technet/security/codeptch.asp (2) IIS のパッチの確認 IIS に対して適切なパッチが適用されていることを確認してください。IIS のパッチについては以下の URL で示されるページをご覧ください。 2001 年 8 月 15 日 IIS 用の累積的な修正プログラム http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044 (3) Web サーバに対するアクセス内容の確認 このスキャンによって Web サーバのアクセスログには以下のような記録が 残ることがあります (必ずしもこれらと完全に一致した記録が残るとは限らな いことにご注意下さい)。 GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir これらのアクセスが全てエラーで終了しているか確認してください。エラーで 終了している場合は 404 というコードが Web サーバのログに記録されます。 (例) 203.xxx.xxx.xxx - - [19/Sep/2001:13:21:51 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1752 "-" "-" II. W32/Nimda Worm について これらのスキャンが Windows 95/98/ME/NT/2000 に感染する新種のワーム W32/Nimda Worm (Concept Virus (CV) v.5 とも呼ばれる) によって行なわれ る可能性が指摘されています。W32/Nimda Worm の詳細については以下の URL で示されるページをご覧ください。 新種ウィルス「W32/Nimda (仮称)」に関する情報 http://www.ipa.go.jp/security/topics/newvirus/nimda.html CERT Advisory CA-2001-26 Nimda Worm http://www.cert.org/advisories/CA-2001-26.html CIAC Bulletin L-144 The W32.nimda Worm http://www.ciac.org/ciac/bulletins/l-144.shtml また W32/Nimda Worm の感染を防ぐためのパッチについては以下の URL で 示されるページをご覧ください。 Information on the "Nimda" Worm http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp [関連文書] CERT/CC Current Activity Increase in Port 80 (HTTP) scanning activity http://www.cert.org/current/current_activity.html#port80 Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" http://www.jpcert.or.jp/at/2001/at010020.txt Solaris に侵入し Microsoft IIS を攻撃するワーム http://www.jpcert.or.jp/at/2001/at010009.txt 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡下さい。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbRZIx1ay4slNTtAQGfigQA1ZPUdsSe7A6POsy3ITRTxG1pG/RZCucN lh1BUYw+UG20WoMAPMZMYssLt5AJTY4MolnIaCSOqH5iq3j2KkxKayab9PGtkzJy Em3qG/SEg2gfmCJx2WmoipgMftN3v87Tc1jIY+5Cli2A8qJ5pAe3Y1nSo06kRHJS c19P2y6Te7Q= =rLSg -----END PGP SIGNATURE-----