各位
80番ポート (HTTP) へのスキャンの増加に関する注意喚起
Increase in Port 80 (HTTP) scanning activity
http://www.jpcert.or.jp/at/2001/at010023.txt
JPCERT/CC では、80番ポート (HTTP) への大量のスキャンが広範囲に渡って行なわれているとのインシデント報告を多数受け付けています。2001年9月19日現在、JPCERT/CC が確認した範囲では、これらのスキャン行為は Code RedII や sadmind/IIS ワームなどの、Microsoft IIS の既知の脆弱性を悪用して感染・増殖を行なうワームによって作成されたバックドアからの侵入、および他の既知の脆弱性を悪用したシステムへの侵入を試みているものと考えられます。
したがって、Code Red II や sadmind/IIS ワームが悪用する脆弱性を修正するパッチなど、IIS に関する既知の脆弱性を修正するパッチが適切に適用されている Microsoft IIS や、IIS 以外の Web サーバプログラムを使っている場合は、このスキャンの結果としてシステムに侵入されるなどの危険はないと思われます。しかしながら、適用されたパッチの内容を確認するなど、このスキャンによって探査されている弱点が本当に存在しないことを改めて確認することを強くお勧め致します。
I. 確認すべき点
(1) バックドアの確認
Code Red II もしくは sadmind/IIS ワームの感染により作成されたと考えられるバックドアプログラムの有無を確認してください。このバックドアプログラムは次のようなファイル名で保存されていることがあります。
C:\inetpub\Scripts\root.exe
C:\Program Files\Common Files\system\MSADC\root.exe
D:\inetpub\Scripts\root.exe
D:\Program Files\Common Files\system\MSADC\root.exe
これらのファイルのうち 1つでも存在する場合は、すぐに削除してください。また、Code Red II に感染した場合の対処方法については以下の URL で示されるページをご覧ください。
Code Red による深刻な問題に対する防護策と対処方法についての説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
(2) IIS のパッチの確認
IIS に対して適切なパッチが適用されていることを確認してください。IISのパッチについては以下の URL で示されるページをご覧ください。
2001 年 8 月 15 日 IIS 用の累積的な修正プログラム
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044
(3) Web サーバに対するアクセス内容の確認
このスキャンによって Web サーバのアクセスログには以下のような記録が残ることがあります (必ずしもこれらと完全に一致した記録が残るとは限らないことにご注意下さい)。
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
これらのアクセスが全てエラーで終了しているか確認してください。エラーで終了している場合は 404 というコードが Web サーバのログに記録されます。
(例) 203.xxx.xxx.xxx - - [19/Sep/2001:13:21:51 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1752 "-" "-"
II. W32/Nimda Worm について
これらのスキャンが Windows 95/98/ME/NT/2000 に感染する新種のワームW32/Nimda Worm (Concept Virus (CV) v.5 とも呼ばれる) によって行なわれる可能性が指摘されています。W32/Nimda Worm の詳細については以下の URLで示されるページをご覧ください。
新種ウィルス「W32/Nimda (仮称)」に関する情報
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
CERT Advisory CA-2001-26
Nimda Worm
http://www.cert.org/advisories/CA-2001-26.html
CIAC Bulletin L-144
The W32.nimda Worm
http://www.ciac.org/ciac/bulletins/l-144.shtml
また W32/Nimda Worm の感染を防ぐためのパッチについては以下の URL で示されるページをご覧ください。
Information on the "Nimda" Worm
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp
[関連文書]
CERT/CC Current Activity
Increase in Port 80 (HTTP) scanning activity
http://www.cert.org/current/current_activity.html#port80
Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"
http://www.jpcert.or.jp/at/2001/at010020.txt
Solaris に侵入し Microsoft IIS を攻撃するワーム
http://www.jpcert.or.jp/at/2001/at010009.txt
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
JPCERT-AT-2001-0023
JPCERT/CC
2001-09-19
JPCERT/CC Alert 2001-09-19
80番ポート (HTTP) へのスキャンの増加に関する注意喚起
Increase in Port 80 (HTTP) scanning activity
http://www.jpcert.or.jp/at/2001/at010023.txt
JPCERT/CC では、80番ポート (HTTP) への大量のスキャンが広範囲に渡って行なわれているとのインシデント報告を多数受け付けています。2001年9月19日現在、JPCERT/CC が確認した範囲では、これらのスキャン行為は Code RedII や sadmind/IIS ワームなどの、Microsoft IIS の既知の脆弱性を悪用して感染・増殖を行なうワームによって作成されたバックドアからの侵入、および他の既知の脆弱性を悪用したシステムへの侵入を試みているものと考えられます。
したがって、Code Red II や sadmind/IIS ワームが悪用する脆弱性を修正するパッチなど、IIS に関する既知の脆弱性を修正するパッチが適切に適用されている Microsoft IIS や、IIS 以外の Web サーバプログラムを使っている場合は、このスキャンの結果としてシステムに侵入されるなどの危険はないと思われます。しかしながら、適用されたパッチの内容を確認するなど、このスキャンによって探査されている弱点が本当に存在しないことを改めて確認することを強くお勧め致します。
I. 確認すべき点
(1) バックドアの確認
Code Red II もしくは sadmind/IIS ワームの感染により作成されたと考えられるバックドアプログラムの有無を確認してください。このバックドアプログラムは次のようなファイル名で保存されていることがあります。
C:\inetpub\Scripts\root.exe
C:\Program Files\Common Files\system\MSADC\root.exe
D:\inetpub\Scripts\root.exe
D:\Program Files\Common Files\system\MSADC\root.exe
これらのファイルのうち 1つでも存在する場合は、すぐに削除してください。また、Code Red II に感染した場合の対処方法については以下の URL で示されるページをご覧ください。
Code Red による深刻な問題に対する防護策と対処方法についての説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
(2) IIS のパッチの確認
IIS に対して適切なパッチが適用されていることを確認してください。IISのパッチについては以下の URL で示されるページをご覧ください。
2001 年 8 月 15 日 IIS 用の累積的な修正プログラム
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-044
(3) Web サーバに対するアクセス内容の確認
このスキャンによって Web サーバのアクセスログには以下のような記録が残ることがあります (必ずしもこれらと完全に一致した記録が残るとは限らないことにご注意下さい)。
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
これらのアクセスが全てエラーで終了しているか確認してください。エラーで終了している場合は 404 というコードが Web サーバのログに記録されます。
(例) 203.xxx.xxx.xxx - - [19/Sep/2001:13:21:51 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 1752 "-" "-"
II. W32/Nimda Worm について
これらのスキャンが Windows 95/98/ME/NT/2000 に感染する新種のワームW32/Nimda Worm (Concept Virus (CV) v.5 とも呼ばれる) によって行なわれる可能性が指摘されています。W32/Nimda Worm の詳細については以下の URLで示されるページをご覧ください。
新種ウィルス「W32/Nimda (仮称)」に関する情報
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
CERT Advisory CA-2001-26
Nimda Worm
http://www.cert.org/advisories/CA-2001-26.html
CIAC Bulletin L-144
The W32.nimda Worm
http://www.ciac.org/ciac/bulletins/l-144.shtml
また W32/Nimda Worm の感染を防ぐためのパッチについては以下の URL で示されるページをご覧ください。
Information on the "Nimda" Worm
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp
[関連文書]
CERT/CC Current Activity
Increase in Port 80 (HTTP) scanning activity
http://www.cert.org/current/current_activity.html#port80
Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"
http://www.jpcert.or.jp/at/2001/at010020.txt
Solaris に侵入し Microsoft IIS を攻撃するワーム
http://www.jpcert.or.jp/at/2001/at010009.txt
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
前
コメント
共 有
