======================================================================
JPCERT-AT-2001-0009
JPCERT/CC
初 版: 2001/05/24======================================================================
JPCERT/CC では、2001年5月初旬より sadmind/IIS ワームに関するインシデント報告を多数受け付けています。
本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの確認方法とワームに対する対処方法を説明します。このワームには亜種がいくつか存在するので、確認方法や対処方法としてはこのドキュメントにある内容だけでは十分ではない可能性もあることをあらかじめご了承下さい。
I. sadmind/IIS ワームとは?
sadmind/IIS ワームは Sun Microsystems の Solaris オペレーティングシステム上で稼働する sadmind (Solstice AdminSuite のサーバプログラム) というデーモンのバッファオーバーフロー問題を使ってシステムのファイルを書き換え、ワーム自身を転送します。ワームには Microsoft IIS の UNICODE Decode 問題を利用して任意のプログラムを実行する攻撃プログラムが含まれ、無作為に選択したネットワーク上の IIS サーバに攻撃をしかけます。同時に、別の、無作為に選択したネットワーク上で sadmind を走査し、複製先を探します。
ワームに侵入された Solaris システムでは一部のシステムファイルが書き換えられます。また、攻撃を受けた IIS サーバでは Web ページの内容が改ざんされる可能性があります。
このワームの詳細に関しては以下の URL で示されるページをご覧ください。
CERT Advisory CA-2001-11 sadmind/IIS Worm
http://www.cert.org/advisories/CA-2001-11.html
II. 確認方法
(1) Solaris システムの場合
/var/adm/messages などのログファイルに次のような記録が残っていないかどうかを確認してください。
May 7 02:40:01 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Bus Error - core dumpedMay 7 02:40:01 sun.example.co.jp last message repeated 1 timeMay 7 02:40:03 sun.example.co.jp last message repeated 1 timeMay 7 02:40:06 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumpedMay 7 02:40:03 sun.example.co.jp last message repeated 1 timeMay 7 02:40:06 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumpedMay 7 02:40:08 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: HangupMay 7 02:40:08 sun.example.co.jp last message repeated 1 timeMay 7 02:44:14 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Killed
このような記述がある場合はワームに侵入された可能性が極めて高いと思われます。
次に /dev/cub や /dev/cuc というディレクトリの有無を確認してください。これらのディレクトリはワームにより作成され、攻撃用のツールが置かれます。もしこれらのディレクトリが存在していたり、またその中に grabbb,uniattack.sh, time.sh などのファイルが置かれている場合はほぼ確実にワームに侵入されています。
また、ワームの侵入を確認する検出ツールが、トレンドマイクロ社より無償で提供されています。
http://www.trendmicro.co.jp/virusinfo/elf_sadmind.htm
(2) Windows システムの場合
ワームによる IIS への攻撃が成功した場合、IIS の管理する Web ページが書き換えられることがあります。また IIS のログには次のように記録されることがあります。
2001-05-07 12:21:29 10.*.*.* - 10.*.*.* 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -2001-05-07 12:21:29 10.*.*.* - 10.*.*.* 80 \
GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe 502 -2001-05-07 12:21:29 10.*.*.* - 10.*.*.* 80 \
GET /scripts/root.exe /c+echo+[HTML ソース]>.././index.asp 502 -
III. 対処方法
(1) Solaris システムの場合
ワームの侵入が確認された場合は、ワームの増殖と IIS への攻撃を防ぐため、その Solaris システムをすぐにネットワークから切り離すことをご検討ください。これにより、まずワームの増殖とIIS への攻撃を防ぐことができます。次にワームに侵入された Solaris システムへの対処を行ないます。このワームに侵入されると Solaris システムにとって重要なシステムファイルが書き換えられたり、または削除されたりしている可能性が極めて高いため、抜本的な解決策としては OS の再インストールを行ない、その上でベンダの提供するパッチを適用することを強くお勧め致します。パッチに関しては次の URL
で示されるページをご覧ください。
Sun Security Bulletins Article 191
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba
ワームに侵入されていない場合も上記のパッチを適用するなどの処置を早急に行なうことを強く推奨します。
sadmind のセキュリティ上の弱点については 1999年に報告されています。詳細は以下の URL で示されるページをご覧ください。
CERT Advisory CA-1999-16
Buffer Overflow in Sun Solstice AdminSuite Daemon sadmind
http://www.cert.org/advisories/CA-1999-16.html
CERT/CC Vulnerability Note VU#28934
http://www.kb.cert.org/vuls/id/28934
(2) Windows システムの場合
攻撃されたことが確認された場合は、速やかに \scripts\root.exe などの、本来システム上に存在しないファイルを全て削除した上でベンダの提供するパッチを適用することを推奨致します。しかし抜本的な対応としては OS の再インストールを行なった上でパッチを適用することをご検討ください。また攻撃されていない場合でも速やかにベンダの提供するパッチを適用することを強くお勧め致します。パッチを適用する場合は以下に示されるページをご覧になった上で作業を行なってください。
[日本語]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-026
[英語]
http://www.microsoft.com/technet/security/bulletin/ms01-026.asp
また、以下のURLもご参照下さい。
http://www.microsoft.com/japan/technet/security/sadmind.asp
IV. 参考
現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものになっているため、未知のセキュリティホールが含まれる可能性はどのシステムであっても否定できません。また、対策が明らかになっている既知のセキュリティホールであっても、対策が広く実施されていない間はやはり脅威となります。このような状況では、
・常にセキュリティ関連の情報収集を行なう。
・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ
を行なう。
・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク
サービスは停止する。
などの対応を推奨いたします。
各サイトにおかれましては、緊急時の連絡体制につき再確認頂くと共に、いま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審なアクセスの監視を継続されることをお勧めします。
対応一般につきましては以下の資料もご覧ください。
コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2000/ed000007.txt
関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2000/ed000006.txt
以上。
前
コメント
共 有
