投稿日:2002年05月05日 作成鷹の巣

No.2910 不正アクセスにどう対処



不正アクセスにどう対処

No.2910 投稿時間:2002年05月05日(Sun) 13:02 投稿者名:不正アクセスの悩み URL:

「鷹の巣」の自宅サーバのおかげで、自宅サーバーを立ち上げました。
今テストとして、HPは1ページしかありません。
ところが、WEBログを見て、不正アクセスばかりできました。被害はなさそうですが、かなり心配しています。
サーバーは4月13日できました。できた時点から4月24日まで不正アクセスログ3000ものありました。

ClientHost LogTime processingtime bytesrecvd bytessent servicestatus win32status operation target parameters
218.27.176.46 2002/4/24 0 96 0 500 87 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir
61.83.64.243 2002/4/23 10 117 0 500 87 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir
61.177.234.11 2002/4/23 0 96 0 500 87 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir
61.85.101.218 2002/4/23 0 96 0 500 87 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir
61.187.54.12 2002/4/23 0 96 0 500 87 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir
61.72.119.175 2002/4/23 0 96 0 500 87 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 0 96 0 500 87 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 0 100 0 500 87 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 0 98 0 500 87 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 0 96 0 500 87 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 10 97 3406 404 3 GET /winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 0 98 0 500 87 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 10 97 3406 404 3 GET /winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 51 97 3406 404 3 GET /winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 0 97 3406 404 3 GET /winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 0 97 3406 404 3 GET /scripts/winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 70 97 3406 404 3 GET /scripts/winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 0 97 0 500 123GET /scripts/..チ../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 0 97 0 500 123GET /scripts/..チ../winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 0 145 3474 403 5 GET /msadc/..%5c../..%5c../..%5c/../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 30 145 3474 403 5 GET /msadc/..%5c../..%5c../..%5c/..チ../winnt/system32/cmd.exe /c+di
61.171.115.240 2002/4/23 10 117 3406 404 3 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 0 117 3406 404 3 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 0 117 0 500 87 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 0 117 0 500 87 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 0 96 0 500 87 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 0 96 0 500 87 GET /scripts/..%c../winnt/system32/cmd.exe /c+dir
61.171.115.240 2002/4/23 50 80 3406 404 3 GET /d/winnt/system32/cmd.exe /c+dir
61.171.87.227 2002/4/23 0 80 3406 404 3 GET /d/winnt/system32/cmd.exe /c+dir

このようなデータはもっとたくさん残っています。
調べたところ、不正アクセス者はほとんど仮想のIP使っているらしいです。

けれども、不正アクセスにどう対処しますか?皆様からご知恵をいただきたいです。


セキュリティーをしっかりしておきます。

No.2911 投稿時間:2002年05月05日(Sun) 13:09 投稿者名:SHINYA URL:http://shinya.kbns.net/

Windowsでサーバを立てているのであればWindowsUpdateの
重要な更新は必ず当てておきます。

ちなみにこのアタックは80ポートだけにアタックをしてくるんで、
ポートの80以外にしておけばこのようなログはなくなるかと思われます。

ただしURLがhttp://hogehoge.com:82/というな格好の悪いURLになってしまいますが。


こんな特別な不正アクセス経験がありますか。

No.2915 投稿時間:2002年05月05日(Sun) 14:53 投稿者名:不正アクセスの悩み URL:

SHINYA 様
ご早く返事、ありがとうございます。

> Windowsでサーバを立てているのであればWindowsUpdateの
> 重要な更新は必ず当てておきます。

WINDOWS2000サーバー+IIS5です。FTPはまた開放していません。

2週間で連続3000ぐらいものの不正アクセスを受けてしまって、私のサイトに何か目立ちの悪い設定が原因ですかと思いますが、皆様のサイトにこんな特別な不正アクセス経験がありますか。


「目立ちの悪い設定」があるのではないですよ。

No.2919 投稿時間:2002年05月05日(Sun) 16:07 投稿者名:独歩 URL:http://doppo.no-ip.com/

> WINDOWS2000サーバー+IIS5です。FTPはまた開放していません。
>
> 2週間で連続3000ぐらいものの不正アクセスを受けてしまって、私のサイトに何か目立ちの悪い設定が原因ですかと思いますが、皆様のサイトにこんな特別な不正アクセス経験がありますか。

そのようなアクセスは、「不正アクセスの悩み」さんのところを狙い打ちに来ているワケではないので、
(私は勝手にテロワームと名づけてます)「目立ちの悪い設定」があるのではないですよ。
IISをお使いでしたら、SP,パッチ、セキュリティーのための設定を万全にしておくことが必要です。
UrlScan,GUARD3も使った方が良いでしょう。

Windows2Kサーバーをお使いでしたら、テロワームのログを正常なログと切り分ける、
もしくは「うっちゃる」という手法を以前、拙サイトで紹介したことがあります。

http://doppo.no-ip.com/j-serv/port_move/host_move.htm


追記させて頂きます。

No.2928 投稿時間:2002年05月06日(Mon) 09:29 投稿者名:鷹の巣 URL:http://sakaguch.com/

> Windowsでサーバを立てているのであればWindowsUpdateの
> 重要な更新は必ず当てておきます。


下記も追記させて頂きます。
情報:Windows 最新Hotfixリスト
http://www.atmarkit.co.jp/fwin2k/info/winsecurity/winsecurity_01.html


> ちなみにこのアタックは80ポートだけにアタックをしてくるんで、
> ポートの80以外にしておけばこのようなログはなくなるかと思われます。
>
> ただしURLがhttp://hogehoge.com:82/というな格好の悪いURLになってしまいますが。


1024番以上のポートでとりわけ8000番台の方が良いと考えます。
例) http://www.example.com:8080/


ありがとうございます。

No.2933 投稿時間:2002年05月06日(Mon) 12:23 投稿者名:不正アクセスの悩み URL:

鷹の巣様、独歩様、ごコメントありがとうございます。
1024以後のポード番号は良い対策と思います。セキュリティを強化するだけでは、新種テロワームには無駄でしょう。
すなわち、MicroSoftさんのWEBに乗せるとき、ワームの活動によるかなりの被害も出たはずです。

はずれの話すと、世界中のネットワークIP管理の智者だちはどう考えるかわかりませんが、
いつ頃、IPアドレスは電話番後のようにコンピューターごとに持たせばワームの対策ははっきりできるでしょう。
今のダイナミックIPはLOG解明には不可能な場合があります。
すなわち、ダイナミックIPはテロワーム者を慫慂しているでしょう。


1度でもログを残したIPアドレスからのアクセスは全て拒否しちゃっています。

No.2917 投稿時間:2002年05月05日(Sun) 15:59 投稿者名:しだれざくら URL:http://www.shidarezakura.com/

こんにちは、はじめまして。しだれざくらと申します。

> ところが、WEBログを見て、不正アクセスばかりできました。
> 被害はなさそうですが、かなり心配しています。
心配ですよね~。私も最初はびっくりしました。
おそらくCodeRedワームの1種ではないかと思います。私はLinuxなので被害はありませんが、1度でもログを残したIPアドレスからのアクセスは全て拒否しちゃっています。不正アクセスの中でも、IPアドレスを偽るものと、そうでないものがあると思いますが、不正アクセスの悩みさんのログに残っているものは、CodeRedワームの1種だと思われますのでアクセス拒否しても問題ないと思いますよん。

あと、たまにnetstat -nで確認するなんてのはどうでしょう?SYN_SENTが残っていなければ、とりあえず自分のマシンが他のマシンに攻撃していることはなさそうです。


あんまり、参考になってないかな?


怪しいアドレス調べてみたら、なんと某大企業だった!

No.2923 投稿時間:2002年05月05日(Sun) 19:45 投稿者名:simmn URL:

国内のIPアドレスの所有者を調べるには、

http://whois.nic.ad.jp/cgi-bin/whois_gw/

で検索すればすぐわかります。

実は、Agnitumファイアーウォールで怪しいIPアドレスに気づき、上記で調べたらなんと某大企業のものでした。
そのアドレスの管理者メールアドレス等も表示されるので、現在、照会のメールを送っているところです。


照会しているメールはこんな感じのもの

No.2924 投稿時間:2002年05月05日(Sun) 20:04 投稿者名:simmn URL:

そちらの管理されているIPアドレスの1つが長期間うちの自宅サーバーへのアクセスを試みて困っています。 ****(<---アドレス)です。whoisでそちらの○○さんという技術担当者あてにメールを出しましたがエラーで届きませんでした。( <---サイト管理がいい加減な証拠。これでITの超有名企業だからあきれちゃいますね。)
以下はその内容です。

前略
自宅サーバーを立ち上げている○○と申します。そちらのメールアドレスはwhoisで調べました。 うちのIPアドレスは****ですが、そちらに属する****というアドレスから長期間、意図不明のクエリが送られていることに気づき、 (中略) しかし接続パターンを見ると、私がマシンを使いはじめると接続の試みは中断するようにも見え、単なる機械的なアクセスではなく、ひょっとしたらクラッカーがうちのマシンを「踏み台」にしようとしているのではないかとも思いました。 というのも、最近ファイアーウォールソフトを導入してから怪しい接続をこまめに遮断し、****も遮断したのですが、それでも接続しようとするのはこのアドレスぐらいのものです。 もし原因がわかりましたら、ご連絡をお願いします。


テロワーム感染サーバ所有企業への連絡

No.2925 投稿時間:2002年05月05日(Sun) 22:14 投稿者名:独歩 URL:http://doppo.no-ip.com/

テロワームに感染しているサーバの所有が企業のものだった場合は、私もできるだけ、メールで連絡するようにしています。
大概の場合は、すぐに謝罪と、その後取った対応に関してのメールが届きますので、メールで報せてあげるというのは、有効な手段だと思います。


サーバーポートと不正アクセス

No.2934 投稿時間:2002年05月06日(Mon) 12:30 投稿者名:NEO URL:http://www.missing.2y.net:8000/

ええぇっと、参考までに。
わたしはApacheでウェブサーバー立ててますがプロバイダの関係でポートを8000にしなくてはなりませんでした。

この手の不正アクセスについてですが、私もポート80以外は問題ないだろうと思っていたのですが最近になってエラーログとして残るようになりました。

File does not exist: c:/htdocs/_vti_bin/shtml.exe/_vti_rpc
File does not exist: c:/htdocs/_vti_bin/owssvr.dll
File does not exist: c:/htdocs/msoffice/cltreq.asp
といった感じです。

ワーム等の種類にもよるのでしょうかね・・?


port80以外でも来るんですね

No.2937 投稿時間:2002年05月06日(Mon) 19:48 投稿者名:独歩 URL:http://doppo.no-ip.com/

port80以外を狙うワームも出てくるだろうとは思ってましたが、出てきてるんですね。
プロキシで多く使われている、8080,8000あたりは狙われやすいのでしょうね。
情報ありがとうございました。


|目次|掲示板|過去ログ目次|▲頁先頭|