======================================================================
JPCERT-AT-2001-0009
JPCERT/CC
緊急報告 - Solaris に侵入し Microsoft IIS を攻撃するワーム
初 版: 2001/05/24
======================================================================
JPCERT/CC では、2001年5月初旬より sadmind/IIS ワームに関するインシデ
ント報告を多数受け付けています。
本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの
確認方法とワームに対する対処方法を説明します。このワームには亜種がいく
つか存在するので、確認方法や対処方法としてはこのドキュメントにある内容
だけでは十分ではない可能性もあることをあらかじめご了承下さい。
I. sadmind/IIS ワームとは?
sadmind/IIS ワームは Sun Microsystems の Solaris オペレーティングシス
テム上で稼働する sadmind (Solstice AdminSuite のサーバプログラム) という
デーモンのバッファオーバーフロー問題を使ってシステムのファイルを書き換え、
ワーム自身を転送します。ワームには Microsoft IIS の UNICODE Decode 問題
を利用して任意のプログラムを実行する攻撃プログラムが含まれ、無作為に選択
したネットワーク上の IIS サーバに攻撃をしかけます。同時に、別の、無作為
に選択したネットワーク上で sadmind を走査し、複製先を探します。
ワームに侵入された Solaris システムでは一部のシステムファイルが書き換
えられます。また、攻撃を受けた IIS サーバでは Web ページの内容が改ざんさ
れる可能性があります。
このワームの詳細に関しては以下の URL で示されるページをご覧ください。
CERT Advisory CA-2001-11 sadmind/IIS Worm
http://www.cert.org/advisories/CA-2001-11.html
II. 確認方法
(1) Solaris システムの場合
/var/adm/messages などのログファイルに次のような記録が残っていないか
どうかを確認してください。
May 7 02:40:01 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Bus Error - core dumped
May 7 02:40:01 sun.example.co.jp last message repeated 1 time
May 7 02:40:03 sun.example.co.jp last message repeated 1 time
May 7 02:40:06 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May 7 02:40:03 sun.example.co.jp last message repeated 1 time
May 7 02:40:06 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May 7 02:40:08 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Hangup
May 7 02:40:08 sun.example.co.jp last message repeated 1 time
May 7 02:44:14 sun.example.co.jp inetd[139]: /usr/sbin/sadmind: Killed
このような記述がある場合はワームに侵入された可能性が極めて高いと思われ
ます。
次に /dev/cub や /dev/cuc というディレクトリの有無を確認してください。
これらのディレクトリはワームにより作成され、攻撃用のツールが置かれます。
もしこれらのディレクトリが存在していたり、またその中に grabbb,
uniattack.sh, time.sh などのファイルが置かれている場合はほぼ確実にワー
ムに侵入されています。
また、ワームの侵入を確認する検出ツールが、トレンドマイクロ社より
無償で提供されています。
http://www.trendmicro.co.jp/virusinfo/elf_sadmind.htm
(2) Windows システムの場合
ワームによる IIS への攻撃が成功した場合、IIS の管理する Web ページが
書き換えられることがあります。また IIS のログには次のように記録される
ことがあります。
2001-05-07 12:21:29 10.*.*.* - 10.*.*.* 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -
2001-05-07 12:21:29 10.*.*.* - 10.*.*.* 80 \
GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe 502 -
2001-05-07 12:21:29 10.*.*.* - 10.*.*.* 80 \
GET /scripts/root.exe /c+echo+[HTML ソース]>.././index.asp 502 -
III. 対処方法
(1) Solaris システムの場合
ワームの侵入が確認された場合は、ワームの増殖と IIS への攻撃を防ぐた
め、その Solaris システムをすぐにネットワークから切り離すことをご検討
ください。これにより、まずワームの増殖とIIS への攻撃を防ぐことができま
す。次にワームに侵入された Solaris システムへの対処を行ないます。この
ワームに侵入されると Solaris システムにとって重要なシステムファイルが
書き換えられたり、または削除されたりしている可能性が極めて高いため、抜
本的な解決策としては OS の再インストールを行ない、その上でベンダの提供
するパッチを適用することを強くお勧め致します。パッチに関しては次の URL
で示されるページをご覧ください。
Sun Security Bulletins Article 191
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba
ワームに侵入されていない場合も上記のパッチを適用するなどの処置を早急
に行なうことを強く推奨します。
sadmind のセキュリティ上の弱点については 1999年に報告されています。
詳細は以下の URL で示されるページをご覧ください。
CERT Advisory CA-1999-16
Buffer Overflow in Sun Solstice AdminSuite Daemon sadmind
http://www.cert.org/advisories/CA-1999-16.html
CERT/CC Vulnerability Note VU#28934
http://www.kb.cert.org/vuls/id/28934
(2) Windows システムの場合
攻撃されたことが確認された場合は、速やかに \scripts\root.exe などの、
本来システム上に存在しないファイルを全て削除した上でベンダの提供するパッ
チを適用することを推奨致します。しかし抜本的な対応としては OS の再イン
ストールを行なった上でパッチを適用することをご検討ください。また攻撃さ
れていない場合でも速やかにベンダの提供するパッチを適用することを強くお
勧め致します。パッチを適用する場合は以下に示されるページをご覧になった
上で作業を行なってください。
[日本語]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-026
[英語]
http://www.microsoft.com/technet/security/bulletin/ms01-026.asp
また、以下のURLもご参照下さい。
http://www.microsoft.com/japan/technet/security/sadmind.asp
IV. 参考
現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものに
なっているため、未知のセキュリティホールが含まれる可能性はどのシステム
であっても否定できません。また、対策が明らかになっている既知のセキュリ
ティホールであっても、対策が広く実施されていない間はやはり脅威となりま
す。このような状況では、
・常にセキュリティ関連の情報収集を行なう。
・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ
を行なう。
・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク
サービスは停止する。
などの対応を推奨いたします。
各サイトにおかれましては、緊急時の連絡体制につき再確認頂くと共に、い
ま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審なア
クセスの監視を継続されることをお勧めします。
対応一般につきましては以下の資料もご覧ください。
コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2002/ed020001.txt
以上。
Topへ