======================================================================
JPCERT-E-INF-97-0001-01
JPCERT/CC
緊急報告 - 年末年始休暇中に多発したアタックについて -
発 行 日: 1997/1/9 (Ver.01)
有効期限: 1997/1/15
最新情報: http://www.jpcert.or.jp/at/
======================================================================
<状況説明>
年末年始にかけて、国内 / 海外を問わず非常に多くのサイトに対して以下
のようなアタックが観測されています。
・Sendmail R5 のセキュリティホールを悪用したアタック
・Anonymous FTP ディレクトリのパーミッション設定を悪用したアタック
・TELNET や FTP を使いパスワード類推により侵入しようとするアタック
1/7日以降、同種の新たなアタックは観測されておりませんが、再発する可
能性もありますので、定期的にログをチェックするなど、十分なご注意を払わ
れることを推奨します。
<想定される影響>
直接の影響としては、
・パスワード・ファイルの盗難
・システムへの不正侵入
が主ですが、一旦侵入されてしまうと、ルートのパスワードを見破られたり等々
さまざまな影響が考えられます。さらに侵入されたまま放置しておくと、踏み
台となって、他のサイトに大きな迷惑を与える可能性もあります。
<Sendmail のセキュリティホールを悪用したアタックの見分け方>
Sendmail のログファイル中に /etc/passwd や .rhosts といった文字列を
含む行がないかどうかで確認できます。ログファイルは、典型的な BSD 系の
システムでは /var/log/syslog* あるいは /var/adm/messages* 等ですが、実
際のログファイルのディレクトリー名やファイル名は、OS や設定等によって
異なります。
確認するためのコマンドの使用例は、次の通りです。
% grep /etc/passwd /var/log/syslog*
% grep /etc/passwd /var/adm/messages*
もし、それらの文字列を含む行があった場合は、Sendmail を利用した、シ
ステムへのアタックがあったと考えられます。
さらに、それら行中にある Sendmail のメッセージ番号 (かぎ括弧のなかの
数字) と同じメッセージ番号を持つ行を探し、それら行の中に stat=Sent と
なっているものがあれば、そのアタックが成功した危険性があります。
<対 策>
これらの不正アクセスが成功した場合には、当該コンピュータに登録されて
いる利用者のパスワードが流出している可能性があります。その場合には、再
発防止のため、少なくとも次のような対策をとられることを推奨します。
(1) Sendmail のバージョンアップ
(2) Anonymous FTP の設定確認
(3) 全ユーザのパスワード変更
(4) シャドーパスワードの利用
(5) システムの再構築
なお、(1)(2)(4) については、今回不正侵入を受けていない場合でも、不正
アクセス予防対策として実行しておかれることを推奨します。
(1) Sendmail のバージョンアップ
Sendmail を最新の版 (8.8.4) にバージョンアップします。Sendmail の
最新版は、以下の Anonymous ftp server 等から取得可能です。
ftp://ftp.sendmail.org/ucb/src/sendmail/sendmail.8.8.4.tar.gz
ftp://info.cert.org/pub/tools/sendmail/sendmail.8.8.4.tar.gz
ftp://ftp.riken.go.jp/pub/ucb/sendmail/sendmail.8.8.4.tar.gz
ftp://ftp.iij.ad.jp/pub/network/sendmail/sendmail.8.8.4.tar.gz
ftp://ftp.aist-nara.ac.jp/pub/Security/tool/sendmail/sendmail.8.8.4.tar.gz
(2) Anonymous FTP の設定確認
Anonymous FTP のディレクトリの保護が正しい (Anonymous ftp のルート・
ディレクトリにファイルが書き込めない) かどうかを確認し、必要があれば
設定を修正します。また wu-ftpd を使用している場合は、最新版 (wu-ftpd
2.4) にバージョンアップします。最新版の wu-ftpd は、以下から
Anonymous ftp で取得可能です。
ftp://wuarchive.wustl.edu/packages/wuarchive-ftpd/wu-ftpd-2.4.tar.Z
ftp://ftp.riken.go.jp/pub/net/wuarchive-ftpd/wu-ftpd-2.4.tar.Z
ftp://ftp.iij.ad.jp/pub/network/wuarchive-ftpd/wu-ftpd-2.4.tar.Z
ftp://ftp.aist-nara.ac.jp/pub/Security/tool/wu-ftpd/wu-ftpd-2.4.tar.Z
(3) 全ユーザのパスワード変更
登録している全ユーザのパスワードを変更します。その際には、容易に類
推されないようなパスワードを設定する必要があります。
(4) シャドーパスワードの利用
OS がシャドーパスワードの機能を提供しているならば、それを使用しま
す。
(5) システムの再構築
入手したパスワードを用いて、TELNET や FTP などでシステムに侵入され
ている可能性もあります。特にシステム管理者のパスワードが破られると、
ログを改ざんされたり、トロイの木馬をシステム内部に仕掛けられている場
合もあります。そこで、外部からのアクセスログを確認し、システムへの不
正侵入の可能性が否定できない場合には、システムの再構築を行う必要があ
ります。
<参考情報>
sendmail 8.8.4 については CERT(sm) Advisory CA-96.25 にも参考となる
情報があります。
ftp://cert.org/pub/cert_advisories/CA-96.25.sendmail_groups
wu-ftp 2.4 については CERT(sm) Advisory CA-95:16 にも参考となる情報
があります。
ftp://cert.org/pub/cert_advisories/CA-95:16.wu-ftpd.vul
最近のインターネットの不正アクセスに対する一般的な傾向は最新の
CERT(sm) Summary に参考となる情報があります。
ftp://cert.org/pub/cert_summaries/CS-96.06
- ----------
<JPCERT/CCからのお知らせとお願い>
今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな
不正アクセスに関する情報がありましたら、info@jpcert.or.jpまでご提供く
ださいますようお願いします。JPCERT/CCの所定の様式
http://www.jpcert.or.jp/form/
にご記載のうえ、関連するログファイルのメッセージとともに、
info@jpcert.or.jp
までお送りください。
JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示
することはありません。JPCERT/CC の組織概要につきましては、
http://www.jpcert.or.jp/
をご参照ください。
- ----------
注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と
したものではありません。個別の問題に関するお問い合わせ等に対して必ずお
答えできるとは限らないことをあらかじめご了承ください。また、本件に関す
るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた
め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき
ください。
注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの
であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも
のではありません。また JPCERT/CC は、この文書に記載された情報の内容が
正確であることに努めておりますが、これを保証するものではありません。こ
の文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 /
あるいはとられなかった行動によって引き起こされる結果に対して、
JPCERT/CC は何ら保障を与えるものではありません。
- ----------
1997 (c) JPCERT/CC
この文書を転載する際には、全文を転載してください。また、転載は1997年
1月15日以降は行なわないようにしてください。なお、これは、この文書の内
容が1997年1月15日まで有効であることを保障するものではありません。また
情報は随時更新されている可能性がありますので、最新情報については
http://www.jpcert.or.jp/at/
を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原
典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。
Topへ