投稿日:2003年04月21日 作成鷹の巣

No.9722 自宅サーバー公開時にport80を開放すると、systemフォルダにファイルが勝手に出来ていました。



自宅サーバー公開時にport80を開放すると、systemフォルダにファイルが勝手に出来ていました。

No.9722 投稿時間:2003年04月21日(Mon) 12:51 投稿者名:death URL:

自宅鯖を公開するためにport80をあけたのですが、しばらくしたらウイルス
(ジョークソフト?PC立ち上げると毎回それが起動します)っぽいファイル
が勝手にsystemフォルダとかにできてました。
特にセキュリティは大丈夫だと思い何もしてなかったのですが、port80あい
てるだけでそんなことするのは可能なのですか?
httpdはデスクトップにおいて公開してました。


感染してるか調べてから。

No.9723 投稿時間:2003年04月21日(Mon) 13:21 投稿者名:OAK URL:

> 自宅鯖を公開するためにport80をあけたのですが、しばらくしたらウイルス
> (ジョークソフト?PC立ち上げると毎回それが起動します)っぽいファイル
> が勝手にsystemフォルダとかにできてました。
> 特にセキュリティは大丈夫だと思い何もしてなかったのですが、port80あい
> てるだけでそんなことするのは可能なのですか?
> httpdはデスクトップにおいて公開してました。

httpd は何を使っていますか。そのバージョンは。パッチ等行なっていますか。
80ポート以外に開いたポートはありますか。

まずは、ビールス対策ソフト(フリーでも可。最新の物を)でチェックを。


AN HTTPDバージョン1.42hを使用してます。

No.9734 投稿時間:2003年04月21日(Mon) 19:27 投稿者名:death URL:

ANHTTPDバージョン1.42hを使用してます。パッチなどは当ててません。
さらにウイルス検索では引っかかりませんでした。80番ポート以外い
じってないのであいてないと思います。

>
> まずは、ビールス対策ソフト(フリーでも可。最新の物を)でチェックを。


断言できないうちは調査をするべきだと認識した方がよいでしょう。

No.9738 投稿時間:2003年04月21日(Mon) 20:53 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

> ANHTTPDバージョン1.42hを使用してます。パッチなどは当ててません。
> さらにウイルス検索では引っかかりませんでした。80番ポート以外い
> じってないのであいてないと思います。
セキュリティーの穴は
「○○だから大丈夫だと思う。」
「うちはたぶん○○を使ってないから大丈夫」
「うちは○○をインストールした覚えはないので大丈夫」
など勝手な思いこみから発生したりします。

断言できないうちは調査をするべきだと認識した方がよいでしょう。


自サイトにポートスキャンを実施し、結果を教えて下さい。

No.9749 投稿時間:2003年04月21日(Mon) 23:53 投稿者名:鷹の巣 URL:http://sakaguch.com/

> ANHTTPDバージョン1.42hを使用してます。パッチなどは当ててません。
> さらにウイルス検索では引っかかりませんでした。80番ポート以外い
> じってないのであいてないと思います。

AN HTTPDバージョン1.42hで80番ポートのみ開放では、ちょっと考えにくい症状ですね。
「80番ポート以外あいてないと思います。」というのは、良くありません。こちら
http://sakaguch.com/ServicePort.html
を参考に自サイトにポートスキャンを実施し、結果を教えて下さい。

> ウイルス(ジョークソフト?PC立ち上げると毎回それが起動します)っぽいファイル
> が勝手にsystemフォルダとかにできてました。
どんなOSのどんなsystemフォルダにどんなファイルが出来ていましたか?
PC起動時だけですか?タスクマネージャから、プロセスを終了させると、以後は起動しませんか?

> httpdはデスクトップにおいて公開してました。

用心のために公開フォルダは、システムドライブのCドライブ以外にして下さい。
そうすれば、Windowsの場合は、相対パス指定でシステムドライブのコマンドが
Webサーバーを通して実行されることはありません。ご心配であれば、こちら
http://sakaguch.com/SetAnhttpdSec.html
の項7の設定をご参考に「一般タブ」の「拡張子」欄のチェックを外して下さい。


ポートスキャンした結果80しかあいてませんでした。OSはWindows XPで、pika.exeがありました。

No.9764 投稿時間:2003年04月22日(Tue) 21:35 投稿者名:death URL:

ポートスキャンした結果80しかあいてませんでした。ほかのポートはすべてcloseでした。
OSはXP、systemフォルダにpika.exeとかいうピカチュウのアイコンのプログラム、system32
にファイル名は忘れましたが、やはりピカチュウのアイコンの実行ファイルができてました。
もう初期化してしまってるので詳しくかけません。


スクリーンセーバーのようですが、心当たりはありませんか?

No.9770 投稿時間:2003年04月22日(Tue) 22:36 投稿者名:鷹の巣 URL:http://sakaguch.com/

> ポートスキャンした結果80しかあいてませんでした。ほかのポートはすべてcloseでした。

よかったですね。安心しました。

> OSはXP、systemフォルダにpika.exeとかいうピカチュウのアイコンのプログラム、system32
> にファイル名は忘れましたが、やはりピカチュウのアイコンの実行ファイルができてました。
> もう初期化してしまってるので詳しくかけません。

AN HTTPDバージョン1.42hで80番ポートのみ開放で、しかもpika.exeがuploadされることは考えにくいです。
掲示板などの書き込みからSSIが実行できるようになっていれば、話は別ですけど。
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=pika.exe&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
スクリーンセーバーのようですが、心当たりはありませんか?


スクリーンセーバーではなかったです。

No.9786 投稿時間:2003年04月23日(Wed) 12:39 投稿者名:death URL:

> AN HTTPDバージョン1.42hで80番ポートのみ開放で、しかもpika.exeがuploadされることは考えにくいです。
> 掲示板などの書き込みからSSIが実行できるようになっていれば、話は別ですけど。
> http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=pika.exe&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
> スクリーンセーバーのようですが、心当たりはありませんか?

自分でも検索してみたんですが、スクリーンセーバーではなかったです。


AN HTTPDのisapiフォルダのcount.plがWebサーバーから実行出来ますか。

No.9794 投稿時間:2003年04月23日(Wed) 15:09 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 自分でも検索してみたんですが、スクリーンセーバーではなかったです。

AN HTTP Server Home Page
http://www.st.rim.or.jp/~nakata/
より、引用抜粋します。
----------------引用開始----------------
バージョン 1.42h およびそれ以前のすべてのバージョンのサンプルスクリプトに重大セキュリティホールがあります。
isapi フォルダの count.pl を削除してください。(2003/4/22)
----------------引用終了----------------

isapi フォルダの count.plがWebサーバーから実行出来ますか。
(Webサーバーのドキュメントルートは、どこのフォルダになっていましたか?)


ドキュメントルートはそのまま?

No.9815 投稿時間:2003年04月24日(Thu) 21:48 投稿者名:death URL:

> isapi フォルダの count.plがWebサーバーから実行出来ますか。
> (Webサーバーのドキュメントルートは、どこのフォルダになっていましたか?)

ドキュメントルートはそのままデスクトップのanhttpdが入ってるフォルダで実行できる状態だったと思います。


一度OSを再度インストールした方が良いと考えます。

No.9817 投稿時間:2003年04月25日(Fri) 00:00 投稿者名:鷹の巣 URL:http://sakaguch.com/

> > isapi フォルダの count.plがWebサーバーから実行出来ますか。
> > (Webサーバーのドキュメントルートは、どこのフォルダになっていましたか?)
>
> ドキュメントルートはそのままデスクトップのanhttpdが入ってるフォルダで実行できる状態だったと思います。

ちょっと良く解りませんが、ドキュメントルート下にisapiフォルダがあると任意のコマンドを
実行できたかもしれませんね。
いずれにせよ、一度OSを再度インストールした方が良いと考えます。


GET /scripts/..%5c../winnt/system32/cmd.exeでコマンドプロンプト画面が実行可能になる場合も。

No.9724 投稿時間:2003年04月21日(Mon) 15:37 投稿者名:wallabyss URL:http://www.kolinahr.net/

>port80あいてるだけでそんなことするのは可能なのですか?

GET /scripts/..%5c../winnt/system32/cmd.exe
のようにすればできるそうです。
詳細は検索してください。


これはIISを利用でセキュリティーパッチを当ててない場合です。

No.9728 投稿時間:2003年04月21日(Mon) 17:26 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

> >port80あいてるだけでそんなことするのは可能なのですか?
>
> GET /scripts/..%5c../winnt/system32/cmd.exe
> のようにすればできるそうです。
> 詳細は検索してください。
これはIISを利用でセキュリティーパッチを当ててない場合です。
ちなみにこれ、任意のフォルダー内のファイル一覧とかも呼び出せます。


実話です。

No.9736 投稿時間:2003年04月21日(Mon) 19:54 投稿者名:通行人 URL:

>port80あいてるだけでそんなことするのは可能なのですか?

私の経験の中で実際に起こりました。それはある公的機関です。
その公的機関は数千万はするだろうファイアフォールを設置、狙われ
たサーバには80番ポートしか通過しないように設定をされていましたが
、ホームページが書き換えられてしまいました。
そのサーバはWindows2000、IISという環境です。手口はMicrosftFro
ntPageを使って書き換えをされていました。
IISにFrontPage2000serverExtensionsというオプションがあります。
それはFrontPageを使用されている方にはとても便利なオプションのよ
うですが設定を間違えるとFrontPageがインストールされているクライ
アントからホームページを編集できてしまうようです。どうよな手順を
踏んでホームページを書き換えたのかはわかりませんが、IISを使用さ
れている方、不用意にIISのオプションはインストールしないほうが無
難です。


|目次|掲示板|過去ログ目次|▲頁先頭|