80番ポート(HTTP)へのスキャンの増加に関する注意喚起
最終更新: 2001-09-19
各位
JPCERT-AT-2001-0023
JPCERT/CC
2001-09-19
<<< JPCERT/CC Alert 2001-09-19 >>>
80番ポート (HTTP) へのスキャンの増加に関する注意喚起
Increase in Port 80 (HTTP) scanning activity
http://www.jpcert.or.jp/at/2001/at010023.txt
JPCERT/CC では、80番ポート (HTTP) への大量のスキャンが広範囲に渡って
行なわれているとのインシデント報告を多数受け付けています。2001年9月19
日現在、JPCERT/CC が確認した範囲では、これらのスキャン行為は Code Red
II や sadmind/IIS ワームなどの、Microsoft IIS の既知の脆弱性を悪用して
感染・増殖を行なうワームによって作成されたバックドアからの侵入、および
他の既知の脆弱性を悪用したシステムへの侵入を試みているものと考えられま
す。
したがって、Code Red II や sadmind/IIS ワームが悪用する脆弱性を修正
するパッチなど、IIS に関する既知の脆弱性を修正するパッチが適切に適用さ
れている Microsoft IIS や、IIS 以外の Web サーバプログラムを使っている
場合は、このスキャンの結果としてシステムに侵入されるなどの危険はないと
思われます。しかしながら、適用されたパッチの内容を確認するなど、このス
キャンによって探査されている弱点が本当に存在しないことを改めて確認する
ことを強くお勧め致します。
I. 確認すべき点
(1) バックドアの確認
Code Red II もしくは sadmind/IIS ワームの感染により作成されたと考え
られるバックドアプログラムの有無を確認してください。このバックドアプロ
グラムは次のようなファイル名で保存されていることがあります。
C:\inetpub\Scripts\root.exe
C:\Program Files\Common Files\system\MSADC\root.exe
D:\inetpub\Scripts\root.exe
D:\Program Files\Common Files\system\MSADC\root.exe
これらのファイルのうち 1つでも存在する場合は、すぐに削除してください。
また、Code Red II に感染した場合の対処方法については以下の URL で示さ
れるページをご覧ください。
Code Red による深刻な問題に対する防護策と対処方法についての説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
(2) IIS のパッチの確認
IIS に対して適切なパッチが適用されていることを確認してください。IIS
のパッチについては以下の URL で示されるページをご覧ください。
2001 年 8 月 15 日 IIS 用の累積的な修正プログラム
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044
(3) Web サーバに対するアクセス内容の確認
このスキャンによって Web サーバのアクセスログには以下のような記録が
残ることがあります (必ずしもこれらと完全に一致した記録が残るとは限らな
いことにご注意下さい)。
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
これらのアクセスが全てエラーで終了しているか確認してください。エラーで
終了している場合は 404 というコードが Web サーバのログに記録されます。
(例) 203.xxx.xxx.xxx - - [19/Sep/2001:13:21:51 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1752 "-" "-"
II. W32/Nimda Worm について
これらのスキャンが Windows 95/98/ME/NT/2000 に感染する新種のワーム
W32/Nimda Worm (Concept Virus (CV) v.5 とも呼ばれる) によって行なわれ
る可能性が指摘されています。W32/Nimda Worm の詳細については以下の URL
で示されるページをご覧ください。
新種ウィルス「W32/Nimda (仮称)」に関する情報
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
CERT Advisory CA-2001-26
Nimda Worm
http://www.cert.org/advisories/CA-2001-26.html
CIAC Bulletin L-144
The W32.nimda Worm
http://www.ciac.org/ciac/bulletins/l-144.shtml
また W32/Nimda Worm の感染を防ぐためのパッチについては以下の URL で
示されるページをご覧ください。
Information on the "Nimda" Worm
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp
[関連文書]
CERT/CC Current Activity
Increase in Port 80 (HTTP) scanning activity
http://www.cert.org/current/current_activity.html#port80
Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"
http://www.jpcert.or.jp/at/2001/at010020.txt
Solaris に侵入し Microsoft IIS を攻撃するワーム
http://www.jpcert.or.jp/at/2001/at010009.txt
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡下さい。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ