No.9722 投稿時間:2003年04月21日(Mon) 12:51 投稿者名:death URL:
自宅鯖を公開するためにport80をあけたのですが、しばらくしたらウイルス
(ジョークソフト?PC立ち上げると毎回それが起動します)っぽいファイル
が勝手にsystemフォルダとかにできてました。
特にセキュリティは大丈夫だと思い何もしてなかったのですが、port80あい
てるだけでそんなことするのは可能なのですか?
httpdはデスクトップにおいて公開してました。
No.9723 投稿時間:2003年04月21日(Mon) 13:21 投稿者名:OAK URL:
> 自宅鯖を公開するためにport80をあけたのですが、しばらくしたらウイルス
> (ジョークソフト?PC立ち上げると毎回それが起動します)っぽいファイル
> が勝手にsystemフォルダとかにできてました。
> 特にセキュリティは大丈夫だと思い何もしてなかったのですが、port80あい
> てるだけでそんなことするのは可能なのですか?
> httpdはデスクトップにおいて公開してました。
httpd は何を使っていますか。そのバージョンは。パッチ等行なっていますか。
80ポート以外に開いたポートはありますか。
まずは、ビールス対策ソフト(フリーでも可。最新の物を)でチェックを。
No.9734 投稿時間:2003年04月21日(Mon) 19:27 投稿者名:death URL:
ANHTTPDバージョン1.42hを使用してます。パッチなどは当ててません。
さらにウイルス検索では引っかかりませんでした。80番ポート以外い
じってないのであいてないと思います。
>
> まずは、ビールス対策ソフト(フリーでも可。最新の物を)でチェックを。
No.9738 投稿時間:2003年04月21日(Mon) 20:53 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/
> ANHTTPDバージョン1.42hを使用してます。パッチなどは当ててません。
> さらにウイルス検索では引っかかりませんでした。80番ポート以外い
> じってないのであいてないと思います。
セキュリティーの穴は
「○○だから大丈夫だと思う。」
「うちはたぶん○○を使ってないから大丈夫」
「うちは○○をインストールした覚えはないので大丈夫」
など勝手な思いこみから発生したりします。
断言できないうちは調査をするべきだと認識した方がよいでしょう。
No.9749 投稿時間:2003年04月21日(Mon) 23:53 投稿者名:鷹の巣 URL:http://sakaguch.com/
> ANHTTPDバージョン1.42hを使用してます。パッチなどは当ててません。
> さらにウイルス検索では引っかかりませんでした。80番ポート以外い
> じってないのであいてないと思います。
AN HTTPDバージョン1.42hで80番ポートのみ開放では、ちょっと考えにくい症状ですね。
「80番ポート以外あいてないと思います。」というのは、良くありません。こちら
http://sakaguch.com/ServicePort.html
を参考に自サイトにポートスキャンを実施し、結果を教えて下さい。
> ウイルス(ジョークソフト?PC立ち上げると毎回それが起動します)っぽいファイル
> が勝手にsystemフォルダとかにできてました。
どんなOSのどんなsystemフォルダにどんなファイルが出来ていましたか?
PC起動時だけですか?タスクマネージャから、プロセスを終了させると、以後は起動しませんか?
> httpdはデスクトップにおいて公開してました。
用心のために公開フォルダは、システムドライブのCドライブ以外にして下さい。
そうすれば、Windowsの場合は、相対パス指定でシステムドライブのコマンドが
Webサーバーを通して実行されることはありません。ご心配であれば、こちら
http://sakaguch.com/SetAnhttpdSec.html
の項7の設定をご参考に「一般タブ」の「拡張子」欄のチェックを外して下さい。
No.9764 投稿時間:2003年04月22日(Tue) 21:35 投稿者名:death URL:
ポートスキャンした結果80しかあいてませんでした。ほかのポートはすべてcloseでした。
OSはXP、systemフォルダにpika.exeとかいうピカチュウのアイコンのプログラム、system32
にファイル名は忘れましたが、やはりピカチュウのアイコンの実行ファイルができてました。
もう初期化してしまってるので詳しくかけません。
No.9770 投稿時間:2003年04月22日(Tue) 22:36 投稿者名:鷹の巣 URL:http://sakaguch.com/
> ポートスキャンした結果80しかあいてませんでした。ほかのポートはすべてcloseでした。
よかったですね。安心しました。
> OSはXP、systemフォルダにpika.exeとかいうピカチュウのアイコンのプログラム、system32
> にファイル名は忘れましたが、やはりピカチュウのアイコンの実行ファイルができてました。
> もう初期化してしまってるので詳しくかけません。
AN HTTPDバージョン1.42hで80番ポートのみ開放で、しかもpika.exeがuploadされることは考えにくいです。
掲示板などの書き込みからSSIが実行できるようになっていれば、話は別ですけど。
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=pika.exe&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
スクリーンセーバーのようですが、心当たりはありませんか?
No.9786 投稿時間:2003年04月23日(Wed) 12:39 投稿者名:death URL:
> AN HTTPDバージョン1.42hで80番ポートのみ開放で、しかもpika.exeがuploadされることは考えにくいです。
> 掲示板などの書き込みからSSIが実行できるようになっていれば、話は別ですけど。
> http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=pika.exe&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
> スクリーンセーバーのようですが、心当たりはありませんか?
自分でも検索してみたんですが、スクリーンセーバーではなかったです。
No.9794 投稿時間:2003年04月23日(Wed) 15:09 投稿者名:鷹の巣 URL:http://sakaguch.com/
> 自分でも検索してみたんですが、スクリーンセーバーではなかったです。
AN HTTP Server Home Page
http://www.st.rim.or.jp/~nakata/
より、引用抜粋します。
----------------引用開始----------------
バージョン 1.42h およびそれ以前のすべてのバージョンのサンプルスクリプトに重大セキュリティホールがあります。
isapi フォルダの count.pl を削除してください。(2003/4/22)
----------------引用終了----------------
isapi フォルダの count.plがWebサーバーから実行出来ますか。
(Webサーバーのドキュメントルートは、どこのフォルダになっていましたか?)
No.9815 投稿時間:2003年04月24日(Thu) 21:48 投稿者名:death URL:
> isapi フォルダの count.plがWebサーバーから実行出来ますか。
> (Webサーバーのドキュメントルートは、どこのフォルダになっていましたか?)
ドキュメントルートはそのままデスクトップのanhttpdが入ってるフォルダで実行できる状態だったと思います。
No.9817 投稿時間:2003年04月25日(Fri) 00:00 投稿者名:鷹の巣 URL:http://sakaguch.com/
> > isapi フォルダの count.plがWebサーバーから実行出来ますか。
> > (Webサーバーのドキュメントルートは、どこのフォルダになっていましたか?)
>
> ドキュメントルートはそのままデスクトップのanhttpdが入ってるフォルダで実行できる状態だったと思います。
ちょっと良く解りませんが、ドキュメントルート下にisapiフォルダがあると任意のコマンドを
実行できたかもしれませんね。
いずれにせよ、一度OSを再度インストールした方が良いと考えます。
No.9724 投稿時間:2003年04月21日(Mon) 15:37 投稿者名:wallabyss URL:http://www.kolinahr.net/
>port80あいてるだけでそんなことするのは可能なのですか?
GET /scripts/..%5c../winnt/system32/cmd.exe
のようにすればできるそうです。
詳細は検索してください。
No.9728 投稿時間:2003年04月21日(Mon) 17:26 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/
> >port80あいてるだけでそんなことするのは可能なのですか?
>
> GET /scripts/..%5c../winnt/system32/cmd.exe
> のようにすればできるそうです。
> 詳細は検索してください。
これはIISを利用でセキュリティーパッチを当ててない場合です。
ちなみにこれ、任意のフォルダー内のファイル一覧とかも呼び出せます。
No.9736 投稿時間:2003年04月21日(Mon) 19:54 投稿者名:通行人 URL:
>port80あいてるだけでそんなことするのは可能なのですか?
私の経験の中で実際に起こりました。それはある公的機関です。
その公的機関は数千万はするだろうファイアフォールを設置、狙われ
たサーバには80番ポートしか通過しないように設定をされていましたが
、ホームページが書き換えられてしまいました。
そのサーバはWindows2000、IISという環境です。手口はMicrosftFro
ntPageを使って書き換えをされていました。
IISにFrontPage2000serverExtensionsというオプションがあります。
それはFrontPageを使用されている方にはとても便利なオプションのよ
うですが設定を間違えるとFrontPageがインストールされているクライ
アントからホームページを編集できてしまうようです。どうよな手順を
踏んでホームページを書き換えたのかはわかりませんが、IISを使用さ
れている方、不用意にIISのオプションはインストールしないほうが無
難です。