CodeRed,Nimdaの攻撃 (2002/11/17)
Apacheのアクセスログを見てたら,CodeRedやNimdaのアタックが結構あることに気づきました。もちろん,これらはWindowsNTやWindows2000のIISサーバにある脆弱性を突いてくるワームですから,うちのサーバは全然平気なんですが何だか嫌なもんですなあ。
ちなみにこれ↓がCodeRedがアタックしてきたときのログ。
|
3*.2**.220.2 - - [16/Nov/2002:23:57:49 +0900] "GET /default.ida?NNNNNN・・・山のようにNが続いて・・・NNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 326 "-" "-"
|
IPアドレスを晒すのもどうかと思うので一部分伏せ字です。特徴は"GET /default.ida?NNNNNN"で始まる長〜いパラメータです。バッファオーバフローを狙っているのでしょうか。
それから,これ↓がNimdaがアタックしてきたときのログ。
|
210.1**.2**.70 - - [17/Nov/2002:16:32:47 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:32:49 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:32:50 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:32:51 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:32:53 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:32:57 +0900] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:32:59 +0900] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 317 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:01 +0900] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 342 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:03 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 307 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:07 +0900] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:09 +0900] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:11 +0900] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:13 +0900] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:14 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:16 +0900] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
210.1**.2**.70 - - [17/Nov/2002:16:33:17 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"
|
ログの特徴は,上のように root.exe と cmd.exe をチェックしてるところ。 一度に16回のリクエストがあるんですな。
|
# rpm -ivh webalizer-2.01.10-0vl1.i386.rpm
|
ダウンロードしたrpmを適当なディレクトリに置いて,インストールします。
|
httpd.confの真ん中あたりを以下のように編集します。
|
# The location and format of the access logfile (Common Logfile Format).
# If you do not define any access logfiles within a
# container, they will be logged here. Contrariwise, if you *do*
# define per- access logfiles, transactions will be
# logged therein and *not* in this file.
#
# CustomLog /var/log/httpd/access_log common
#CustomLog /var/log/httpd/access_log combined
SetEnvIf Request_URI "root\.exe|cmd\.exe|default\.ida" worm
CustomLog /var/log/httpd/worm_log combined env=worm
CustomLog /var/log/httpd/access_log combined env=!worm
|
これでCodeRedやNimdaのアクセスログをworm_logに分離して記録することができるはず(だったんですけどねえ・・・)。
|
|
これがWebalizerが作ったグラフ。
毎日こんなにアタックがあるんですヨ。
|
|
時間別のアクセス記録です。
|
ところがCodeRedのアクセスがworm_logではなく,本体のaccess_logに記録されちゃうんだなあ。 何が悪いんだろ。
というわけで,上のグラフはNimdaのみのアタック記録ってことでよろしく。(^_^;)
でも,どうしてもCodeRedのアタックが調べたいので,httpd.confを以下のように変えて(wormのアタックをaccess_logからはじかないで),ココで手に入るApache Attack AnalysisというCGIで解析してみることにしました。
|
# The location and format of the access logfile (Common Logfile Format).
# If you do not define any access logfiles within a
# container, they will be logged here. Contrariwise, if you *do*
# define per- access logfiles, transactions will be
# logged therein and *not* in this file.
#
# CustomLog /var/log/httpd/access_log common
#CustomLog /var/log/httpd/access_log combined
SetEnvIf Request_URI "root\.exe|cmd\.exe|default\.ida" worm
CustomLog /var/log/httpd/worm_log combined env=worm
CustomLog /var/log/httpd/access_log combined
|
んで,その結果はこのページで見られます。ま,とりあえずこれでよしとするか・・・。
|
|