JPCERT コーディネーションセンター

ポートスキャンを用いた不正アクセス

======================================================================
JPCERT-E-INF-98-0004-01
JPCERT/CC

緊急報告 - ポートスキャンを用いた不正アクセス

初 版: 1998/07/01 (Ver.01)有効期限: 1998/07/10最新情報: http://www.jpcert.or.jp/info/98-0004/======================================================================


I. 状況説明

JPCERT/CC は、いくつものサイトから繰り返し多量のポートスキャン(*)を受けたというユーザからの報告を多数受け取っています。具体的には、Finger、TELNET、IMAP、POP、HTTP、NFS、DNS、X 等のサービスへのアタックが行われています。

今回報告されているスキャンは、不正アクセスを目的とした自動化ツールによって行われているものと考えられます。攻撃対象に指定されたドメインについて DNS に登録されているホスト一覧を入手し、それらホストをスキャンする手段が組み込まれているため、任意のドメインに属する全サイトへの攻撃が網羅的に行われることが予測されます。さらに、攻撃ツールに含まれるドキュメントには、日本国内のサイトに対する攻撃例が紹介されており、国内のサイトは厳重な注意が必要です。

この緊急報告でご紹介したケースに該当すると思われるアタックを受けたという情報が、すでに複数の or.jp ドメインや ac.jp ドメイン関係者から
JPCERT/CC に寄せられています。さらに co.jp ドメインに属するサイトへのアタックも観測されています。これらを勘案すると日本の多くのサイトがアタックを受けている可能性が高いと考えられます。

(*) 多くのホストのネットワークサービスポートに順次アクセスして、各ポー
トに対応するサービスに存在するセキュリティ上の弱点を探し出す攻撃


II. 想定される影響

もし各サイトで運用中のネットワークサービスにセキュリティ上の弱点が存在した場合、そのセキュリティ上の弱点を攻撃者に知られる可能性があります。

また、それに続いてさまざまな不正アクセスが行われ、次のような影響を受ける可能性があります。

・不正なコマンドを実行され、その結果パスワード・ファイル等のセキュ
リティ上重要なファイルや情報を持ち出される

・システムに不正侵入される

・不正なプログラムを送り込まれ、それを管理者権限で実行されるなど、
管理者 (root) 権限を不正に利用される

また、これらを悪用して、ホストのパスワードファイル等セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正アクセスを管理者権限で実行される可能性があります。さらに侵入されたまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあります。


III. 対策

(1) 不正アクセスの事実確認

システムの運用ログを検証されるなど、不正アクセスが成功し、あるいは
不正侵入を受けた等の痕跡がないかどうかを緊急に確認されることをお勧
め致します。

チェックポイントについては、以下の場所に参考となるドキュメントがあ
ります。また同じディレクトリにある他の文書も参考になります。

ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/intruder_detection_checklist
ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/root_compromise

特に POP、DNS (named)、NFS (statd)、IMAP、HTTP (cgi-bin) 等のセキュ
リティ上の弱点を使用した不正アクセスにつきましては、参考情報 IV.
[1] 〜 [5] に挙げた各資料をご参照ください。

(2) デフォルトでシステムに存在するアカウントの確認

導入時にデフォルトで用意されているアカウントに、容易に推測できるパ
スワードが設定されていたり、あるいは正しくパスワードが設定されてい
ないシステムがあります。このようなアカウントが存在しないか否かを至
急確認されることをお勧め致します。

(3) 不要なネットワークサービスの削除

当該ホストを含め、インターネットからアクセス可能なホスト全てについ
て、各ホストが提供しているネットワーク・サービス (典型的には、
/etc/inetd.conf にて定義) をご確認頂き、不要なネットワーク・サービ
スを緊急に停止されることをお勧めいたします。

具体的には、finger、telnet、imap、pop で始まるエントリの中で、不要
なサービスのエントリをコメントアウトします。それ以外にも不要なサー
ビスがあれば、それらエントリも加えてコメントアウトします。その後、
inetd プロセスに kill -HUP シグナルを送るか、あるいはシステムを再
起動します。

また、もし DNS (named) や NFS (statd) のサービスが不要であれば、OS
起動時の設定ファイル (典型的には /etc/rc*) をチェックして、それら
サービスを起動している行をコメントアウトします。その後、該当するプ
ロセスを kill するか、あるいはシステムを再起動します。

(4) 不要なパケットのフィルタリング

本来サイト外から送られてくる可能性がない不要なパケットを制限し、サ
イト内に流入させないよう、ルータでのフィルタリングを実施されること
をお勧め致します。例えば、多くのサイトでは、X プロトコルを通す必要
はないかも知れませんし、またサイト外に対して NFS サービスを提供す
る必要はないかも知れません。

具体的には、次のネットワークサービスの必要性について検討の上、不要
なパケットをフィルタリングされることをお勧め致します。

- DNS ゾーン転送 (53/tcp)
(セカンダリサーバ以外からのアクセス)
- Finger (79/tcp)
- POP3 (110/tcp)
- SunRPC (111/udp,tcp)
- IMAP (143/tcp)
- NFS (2049/udp,tcp)
- X11 (6000〜 /tcp)

フィルタリングに関しては、参考資料 IV. [6] に示した資料もご参照く
ださい。

(5) サーバプログラムのバージョンアップ

セキュリティ上の弱点を含むバージョンのサーバプログラムを利用してお
り、サービスを停止することができない場合には、直ちに最新版にバージョ
ンアップすることを強くお勧め致します。

セキュリティ上の弱点を含むサーバプログラムのインプリメンテーション、
バージョン、およびバージョンアップに必要な情報の所在については、参
考情報 IV. [1] 〜 [5] に挙げた各資料をご参照ください。

また、直ちにバージョンアップすることができない場合には、バージョン
アップまでの間サービスを一時的に停止するか、あるいは (6) に述べる
ソフトウェア等により、サービスの利用を特定のマシンのみに規制するこ
とをお勧め致します。

(6) 監視用ソフトウェアのインストール

監視用ソフトウェアとして、tcp_wrapper のようなツールをインストール
し、外界からの接続を監視・規制することは、不正アクセス対策として効
果的です。

tcp_wrapper は、本緊急報告に関連するサービスについて、典型的なシス
テムでは Finger、TELNET、IMAP、POP 等に適用することができます。ま
た tcp_wrapper では、アクセス制御機能だけでなく、「ドメイン
somewhere.co.jp からリモートログインの接続があったときに、管理者に
メールを送信する」といった設定をすることも可能です。

tcp_wrapper は以下の URL から入手することができます。

ftp://ftp.jpcert.or.jp/pub/cert/tools/tcp_wrappers/


すでに攻撃を受け、管理者 (root) 権限を悪用された可能性が否定できない場合には、上記の対策に加え、再発防止のため (7) (8) の対策をとられることをお勧め致します。

(7) 全ユーザのパスワード変更と不要なアカウントの削除

この不正アクセスが成功した場合には、不正なアカウントが登録されたり、
当該ホストに登録されているユーザのアカウント名が流出しパスワードが
破られた可能性があります。そこで、登録している全ユーザのパスワード
を変更します。パスワードを設定する際には、容易に類推されないような
パスワード文字列を選択します。また不要・不審なアカウントが登録され
ている場合には、それらのアカウントを削除します。

(8) システムの再構築

管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ
たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能
性があります。そのため、ホストへの不正侵入の可能性が否定できない場
合には、システムの再構築が必要となります。

なお、再構築の際に、システムのバックアップ情報を利用される場合には、
そのバックアップ自体に既に不正なプログラムや情報等が記録されてしまっ
ていないか、十分にご注意頂くことをお勧め致します。


IV. 参考情報

今回のアタックについては、以下の参考資料もご覧ください。

[1] POP サーバプログラムを悪用したアタック
http://www.jpcert.or.jp/info/98-0003/

[2] named サーバプログラムを悪用したアタック
http://www.jpcert.or.jp/info/98-0002/

[3] statd サーバプログラムを悪用したアタック
http://www.jpcert.or.jp/info/98-0001/

[4] IMAP サーバー・プログラムを悪用したアタック
http://www.jpcert.or.jp/info/97-0004/

[5] phf CGI プログラムを悪用したアタック
http://www.jpcert.or.jp/info/97-0003/

[6] Packet Filtering for Firewall Systems
ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/packet_filtering

________

<JPCERT/CC からのお知らせとお願い>

今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお願いします。JPCERT/CC の所定の様式

http://www.jpcert.or.jp/form.html

にご記載のうえ、関連するログファイルのメッセージとともに、

info@jpcert.or.jp

までお送りください。

JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示することはありません。JPCERT/CC の組織概要につきましては、

http://www.jpcert.or.jp/

をご参照ください。_________

注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。

注: この文書は、不正アクセスに対する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。_________

1998 (c) JPCERT/CC

この文書を転載する際には、全文を転載してください。また、転載は1998年7月10日以降は行なわないようにしてください。なお、これは、この文書の内容が1998年7月10日まで有効であることを保障するものではありません。情報は随時更新されている可能性がありますので、最新情報については

http://www.jpcert.or.jp/info/98-0004/

を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。

JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。

ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key

_________

更新履歴

1998/07/01 First Version.
Topへ
最新情報(RSSメーリングリストTwitter