======================================================================
JPCERT-E-INF-97-0003-01
JPCERT/CC
初 版: 1997/08/05 (Ver.01)有効期限: 1997/08/12最新情報: http://www.jpcert.or.jp/info/97-0003/======================================================================
I. 状況説明
JPCERT/CC は、Web サーバー (httpd) の CGI サンプル・プログラムにあるセキュリティ上の弱点を悪用しようとする不正アクセスについて報告を受け取りました。この攻撃は、国内外を問わず数多く行われています。
セキュリティ上の弱点を含む版の CGI サンプル・プログラムがインストールされており、かつ、それらのサンプル・プログラムが Web サーバーから実行可能な状態になっているシステムでは、攻撃者に任意のコマンドを不正に実行される可能性があります。この弱点が利用されると、ホストのパスワード・ファイル等のセキュリティ上重要なファイルや情報を不正に盗まれる可能性があります。
JPCERT/CC は、直ちに不要な CGI サンプル・プログラムを実行できなくする、あるいはバージョンアップすることを推奨します。
II. 想定される影響
直接の影響としては、
・不正なコマンドの実行
と、それによる
・パスワード・ファイル等のセキュリティ上重要なファイルや情報の盗難
が主です。また、それらを利用してシステムに侵入されてしまうと、管理者用アカウント (root) のパスワードを見破られる等々さまざまな影響が考えられます。さらに侵入されたまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあります。
III. CGI サンプル・プログラムを悪用したアタックの見分け方
httpd のログファイル中に、/phf という文字列を含む行があるか確認します。
ログファイルは、典型的な httpd のインストールでは
/usr/local/etc/httpd/logs/access_log* 等ですが、実際のログファイルのディレクトリ名やファイル名は、OS や設定等によって異なります。
確認するためのコマンドの使用例は、次の通りです。
% grep /phf /usr/local/etc/httpd/logs/access_log*
もし、それらの文字列を含む行があった場合は、CGI サンプル・プログラムを悪用したシステムへの攻撃が行われた可能性があります。
さらに、それら行中に記載されている HTTP のステータス・コードが 200
であれば、その攻撃に成功した可能性があります。
また、httpd が稼働しているホスト上で、不審なプロセスが動作している場合、それらはこの攻撃によって起動された可能性があります。確認の上、直ちにそれらの不審なプロセスを停止することを推奨します。
IV. 対策
不正アクセスが成功した場合には、当該ホストに登録されている利用者のアカウント名とパスワードが流出している可能性があります。その場合には、再発防止のため、少なくとも次のような対策をとられることを推奨します。
(1) CGI サンプル・プログラムを削除あるいは実行不可能にする、もしく
はバージョンアップする
(2) シャドーパスワードを利用する
(3) 全ユーザのパスワードを変更する
(4) システムを再構築する
なお、(1)(2) については、今回不正アクセスを受けていない場合でも、予防対策として実施しておかれることを推奨します。
(1) CGI サンプル・プログラムの設定変更、またはバージョンアップ
phf をはじめとするサンプルの CGI プログラムは、不要であれば削除す
ることができます。JPCERT/CC は、phf に限らず、不要な CGI プログラ
ムは放置せずに削除するか、あるいは httpd から起動できないような設
定にしておくことを強く推奨します。なお詳細については、V 章の参考情
報に示した CA-96.06.cgi_example_code を参照してください。
(2) シャドーパスワードの利用
OS がシャドーパスワードの機能を提供しているならば、それを使用しま
す。
(3) 全ユーザのパスワード変更
登録している全ユーザのパスワードを変更します。その際には、容易に類
推されないようなパスワードを設定する必要があります。
(4) システムの再構築
入手したパスワードを用いて、TELNET や FTP などでホストに侵入されて
いる可能性もあります。特にシステム管理者用アカウントのパスワードが
破られると、ログを改ざんされたり、トロイの木馬をシステム内部に仕掛
けられたりする場合もあります。そこで、外部からのアクセスログを確認
し、ホストへの不正侵入の可能性が否定できない場合には、システムの再
構築を行う必要があります。
V. 参考情報
CGI サンプル・プログラムへの攻撃については、以下の参考資料もご覧ください。
<phf について>
[Original]
ftp://info.cert.org/pub/cert_advisories/CA-96.06.cgi_example_code
[Mirror]
ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/
CA-96.06.cgi_example_code
<nph-test-cgi について>
[Original]
ftp://info.cert.org/pub/cert_advisories/CA-97.07.nph-test-cgi_script
[Mirror]
ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/
CA-97.07.nph-test-cgi_script
<PHP cgi-bin について>
http://www.secnet.com/sni-advisories/sni-11.php_overflow.advisory.html
WWW のセキュリティ全般についての情報は、以下をご参照ください。
http://www.w3.org/Security/
Apache についての最新情報、および入手方法についての情報は、以下から
入手することができます。
http://www.apache.org/
NCSA HTTPd についての情報、および入手方法についての情報は、以下から
入手することができます。
http://hoohoo.ncsa.uiuc.edu/
________
<JPCERT/CC からのお知らせとお願い>
今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお願いします。JPCERT/CC の所定の様式
http://www.jpcert.or.jp/form.html
にご記載のうえ、関連するログファイルのメッセージとともに、
info@jpcert.or.jp
までお送りください。
JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示することはありません。JPCERT/CC の組織概要につきましては、
http://www.jpcert.or.jp/
をご参照ください。_________
注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。
注: この文書は、不正アクセスに対する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。_________
1997 (c) JPCERT/CC
この文書を転載する際には、全文を転載してください。また、転載は1997年8月12日以降は行なわないようにしてください。なお、これは、この文書の内容が1997年8月12日まで有効であることを保障するものではありません。情報は随時更新されている可能性がありますので、最新情報については
http://www.jpcert.or.jp/info/97-0003/
を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。_________
更新履歴
1997/08/05 First Version.
前
コメント
共 有
