現在地 HOME > 掲示板 > IT1 > 835.html ★阿修羅♪ |
|
(回答先: 最近のサーバ攻撃 (2) 投稿者 愚民党 日時 2003 年 9 月 04 日 10:15:55)
--------------------------------
1.最近。激増中のNIMDAらしき攻撃。
http://www.netpub.tsuzuki.yokohama.jp/j/server/list-2002-09-27.html
本サイトは毎日のように攻撃を受けています。本サイトは有名なサイトではなく弱小規模のサイトですが、いかに、クラッカーたちが「踏み台」にできるサーバを毎日嗅ぎまわっているか実感しています。さて、ここのところ監視サーバには以下のようなパケットが記録されています。本サイトの監視サーバはシグネチャ(検出ルール)を使った異常検知を利用しておらず、全てのIPパケットを記録する形になっています。従いまして「ステルススキャン」も含めすべての通信パケットが検出できるようになっています。
Source
(送信元) Destination
(送信先) Protocol
(プロトコル) Info
(内容)
利用者ホスト WWWサーバ HTTP GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=3124&STRMVER=4&CAPREQ=0 HTTP/1.1
WWWサーバ 利用者ホスト HTTP HTTP/1.1 404 Not Found
利用者ホスト WWWサーバ TCP 1484 > 80 [SYN]...
利用者ホスト WWWサーバ TCP 1482 > 80 [ACK]...
利用者ホスト WWWサーバ HTTP GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=3124&STRMVER=4&CAPREQ=0 HTTP/1.1
利用者ホスト WWWサーバ HTTP GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=3124&STRMVER=4&CAPREQ=0 HTTP/1.1
・・以下繰り返し。「Not Found」以降、本サイトの「防衛機能」が動作し、リクエストが全て遮蔽されています。
本サイトではWWWサーバにApacheを使っています。したがいまして、マイクロソフト社のIISサーバに関係する以上に示すリクエストには反応しません。それどころか、「Not Found」として処理されますので、こういったリクエストを受信するとWWWサーバのエラーログが膨れ上がり、こちらのサーバ運用に支障が出ます。上記のリクエストにより過去、被害を受けたのはNIMDAという新型ワームでした。朝起きたら、猛烈なリクエストを際限なく受信し、そのときは、WWWサーバのエラーログがパンクするのではないかと心配したものでした。
今回、監視ログの前後関係を調べてみますと、不思議なことにワーム特有の連続攻撃の始まり方に奇妙な点がみられました。通常、ワームの場合、いきなり攻撃から始まるパターンになるのですが、今回の攻撃は、どれも、WWWサーバへ正常にアクセスしていて、その途中から、パターンが現れるというものでした。(??)へんだな。と思ったのはこの点を発見したからです。
現在もリクエストが1420バイトを超えるバッファオーバーフローを狙った長いリクエスト(CODERED2)がやってきますが、そちらとは明らかにパターンが違います。そこで、検索エンジンを使って、この奇妙なパターンを説明しているページがないか探してみました。
(以下にNIMDAのパターンを示します。)
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
2.(*o*)「Webディスカッション機能」とはなにもの?
今回のパケットに関係するものが、マイクロソフト社のOfficeという製品の「Webディスカッション機能」に関係あることが、インターネットの検索エンジンを使ってわかってきました。この「Webディスカッション機能」とはいかなるものか調べてみました。
「Office Server Extension」(OSE)はコラボレーション機能を実現する核となる機能で、Windows NT ServerおよびWorkstation上でWebサーバを拡張して、Office文書の共有と「Webコメント機能によるディスカッション機能」を提供するものだそうです。Word,Excel,PowerPointのファイルはHTML形式で保存可能となり、HTMLで保存したファイルを再度各アプリケーションで開くとネイティブファイルを開いた場合と同じように編集が行えます。
FrontPage Extensionを組み込んだWebサーバ、WebDAV仕様に準拠したWebサーバ、Office 2000に含まれる「Office Server Extension(OSE)」を組み込んだWindows NT上のInternet Infomation Server(IIS)サーバにおいて、Webサーバ上のディレクトリに直接ファイルを保存することが可能になりました。また、OSEを利用すると「意見を集約するためのディスカッションをサポートする」ことができます。これを「Webディスカッション機能」といいます。
OSEを使うことで、Web上の文書中の段落や文書全体にWebブラウザからコメントを挿入することが可能になます。例えば、報告書を作成し、それをHTMLファイルとしてOSEに登録しておけば、OSEを使ってその報告内容について議論を交わすことができる!!これを実現する仕組です。
なにやら、夢のような話ですが、これを実装するとなると、結局はUNIXの世界でいうCGIやSSIの機能のお世話にならないと実現できないわけです。以上の説明で「WEBの掲示板と同じじゃないか」と想像されたかたも多いと思いますが、これを実現するには同じように、WEBサーバ側のCGI機能を動かさなければ実現は無理です。つまり、WEBサーバへ「CGIを動かすリクエスト」を送信する必要があるわけで、この道理から、最近、攻撃として検出している「わけのわからないリクエスト」の意味が理解できました。
では、「GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=3124&STRMVER=4&CAPREQ=0」はIISサーバに対して、いったい何を要求しようとしたのか、これも調べてみました。(^^;しつこい??
3.あちらのサイトの説明によると。
日本のサイトでは、さらなる詳細はわかりませんでした。海外のほうで、たまたま以下の記事を持つページを発見しました。
Friendly.
You're being visited by a user who has installed Microsoft Office and Internet Explorer, and who has
enabled the "Discuss" toolbar in his browser. When that toolbar is enabled, the browser will automatically query
for these two files when visiting each site, to determine whether the Office Server Extensions are installed.
Recommendation:
do nothing. Allow the 404 errors to happen. To cut down on error reports, you may disable
Guardian notification by using a custom filter rule with the "ignore: 1" action.
If you are on a Windows server, you can install Office Server Extensions (available in Office 2000) and then the
/MSOffice/cltreq.asp path will contain a valid file, allowing visitors to discuss content. Wouldn't that be neat?
この記事によると、このリクエストは「the browser will automatically query for these two files when visiting each site, to determine whether the Office Server Extensions are installed.」というわけで、こちらのWWWサーバに「OSE機能がインストールされているかどうか問い合わせ」をしている行為だそうです。(^^;あーー。すごく迷惑だなーー。
しかも、「Recommendation:(勧告)」によれば、「なにもするな。404エラーが発生しても容認すること。エラー通知を出さなくするために、フィルタリングの許容範囲にこれを加えること。もし、OSE機能がインストールできるなら、適切なファイルをインストールして、WEB訪問者へディスカッション機能を可能にさせたらどうだろうか?」と・・書かれてあるけど。。UNIX系のこちらのサイトではOSE機能のインストールは無理、コラボレーション機能を許してサーバの脆弱性を拡大させるつもりもありません(この機能をねらった攻撃も考案されるかも知れないし・・)。「クライアントのほうこそゴミを出してほしくない」と言いたいです。「通信回線に余分なリクエストを流さない」ということは「資源の有効利用」から考えた場合、当然のことなのに。。。
ということで、お願いなのですが
IEとMS Officeをご利用の皆様で「WEBディスカッション機能」を利用されている方がおられましたら、機能をOFFにしてWEBサーフィンをするようお願いします。世の中、IISサーバばかりで運用されているわけではありません。インターネットの世界はUNIXサーバの方が多いのです。この機能をOFFにすることで、無用なリクエストを出さずに済みます。また、イントラネットからインターネットへアクセスする場合のプロキシーサーバでこの要求を遮断してほしいものです。イントラネット(企業内部のネットワーク)ではこのようなパケットは問題にはなりませんが、屋外にあたるインターネットで、このようなゴミパケットを送信することはいかがなものかと思います。
なお、本サイトで使用している「防衛機能」ですがIISサーバに対する新型ワーム検知のため従来のままとします。従いまして、以上のリクエストに対しては遮断の対象となりますのでご注意ください。
--------------------------------------------------------------------------------