サーバのログについて

個人で勉強目的でサーバを立てているんですが
ちょっと前から不審なアクセスが目に付きます。
具体的には
/default.ida XXXXXXXXX（中略）%u0078%u0000%u00=a
や
/c/winnt（中略）/cmd.exe /c+dir
等のログが残るんですけどいかにも悪意あるアクセスって感じがしますがこれは何なんでしょう？
サービス拒否攻撃ってほど頻繁にくるわけではないですし、NIMDAやCodeRedと関係あるのでしょうか？それともただ単に攻撃されてるだけでしょうか？
ちなみに攻撃してくるIPは自分と似たIPが多いです。（IPは毎回違いますが最初の8ビットが同じ場合が多い）
それとウィルススキャンでウィルスは検出されませんでした。
セキュリティーに詳しい方々の意見を伺いたいです。
お願いします。

環境
win2000server sp2+その後の各種パッチ
IIS5.0
ZoneAlarm
ノートンアンチウィルス

No.7 ベストアンサー 回答者： D-MAKER 回答日時： 2001/10/03 20:22

こんばんは。

今日はちっと疲れているので短めにします。

selenityさんの回答にもありますが、ここは私の言葉で説明しますね。

簡単に言うとＮＡＴとパケットフィルタリングは全然違います。

まず、ＮＡＴとはグローバルＩＰアドレスとローカルＩＰアドレスを１対１で変換する機能のことをいいます。
パケットフィルタリングとは、特定のポートに対して通す通さないの設定をすることいいます。

わかりましたか？SIMさんはＮＡＴを誤解していたみたいですね。

さて、SIMさんはポートスキャンをして必要なサービス以外のポートは全て閉じられていることを確認しました。
じゃあ、なぜパケットフィルタリングしなきゃいけないのかというと、selenityさんが書いていたトロイの木馬っていうタイプのウィルスがあるからなんです。
このタイプのウィルスは、自分でサービスを提供してポートを空けるんです。管理者がわからないようにメールやマクロなどに仕込んでおいてドカンとやっちゃうんです。

だから外から中に入ってくるパケットや中から外に向かってでていくパケットを制御するんです。
パケットっていう言葉がわかりにくければ、サーバが提供するサービスがやり取りしている情報と思ったほうがわかりやすですかね？

最後の感想についてですが・・・何ともいえませんね。
サーバ立てる人がちゃんと勉強してくれるといいのですが、こういうことをコンサルティングとして仕事をしている人もいるわけですから(笑)。
私の希望としては、インターネットを利用する人たちが増えている中、困っている人も多いわけで、勉強した人は困っている人を助けてあげてくれたらいいなぁと思うわけです。

この回答へのお礼

どうも毎回親切なアドバイスありがとうございます。
あの感想は昼休みに慌てて書いてしまったものでちょっと誤解されるような文になってしまいました。
私が言いたかったのは、私のように生半可な知識でサーバを立てるのは危険だと自分の愚かさに対する感想のつもりでした。
D-MAKERさんの言われる
>勉強した人は困っている人を助けてあげてくれたらいいなぁ
はとても素敵な考え方だと思います。インターネットのイメージは1部の心ない人たちによってあまりいいものとは言えないのが現状だと思いますが、映画のペイフォワードじゃないですけど人々の善意が広がっていくような善意の場になってくれたらいいなと思います。

それからNATについてはとてもよくわかりました。
丁寧に解説して頂きありがとうございました。

私もちゃんと勉強して誰かを助けてあげられるようになりたいです。（D-MAKERさんみたいに）

本当にいろいろとありがとうございました。
また質問するかもしれませんがそのときは宜しくお願いします。

お礼日時：2001/10/03 21:20

No.6 回答者： selenity 回答日時： 2001/10/03 14:19

D-MAKERさんの補足の部分に反応。

> NATとパケットフィルタリング

NAT/NAPTは「内→外」へアクセスするために使用するのが通常です。
ですが、DMZ等を構成する際、どうしても「外→内」へアドレス変換する必要があります。このような設定を「静的NAT」と呼んでいることが多いようです。

一方、パケットフィルタリングは、構成にもよりますが、

・IPFilter+natd(FreeBSDなど)の場合、まずNATの設定が参照されマッチするパターンがあればアドレス変換(静的NAT)が行われ変換後のアドレスに対してさらにパケットフィルタ(in/out双方)のルールが適用され、これらの結果によってパケットの通過/拒否が決定します。

・iptables/ipchainsの場合は、まずinputチェインが評価され、その後NAPTが行われ、更にOutputチェインが評価されます。

の様に動作します。

ADSLで間にブロードバンドルータを入れるような場合は、あまりNATとパケットフィルタリングの差を感じることはないと思います。これはブロードバンドルータが何も機能を持っていないためです。

UNIXで直接Firewall/Serversを構築するような場合は、NATとパケットフィルタリングは明確に異なることが体感できるでしょう。
このような場合、パケットフィルタリングをしないということは「全ポートがOpen可能」な状態だということです。たとえばトロイの木馬など仕掛けられた場合、相手はいたずらし放題になりますが、パケットフィルタリングを行っている場合、トロイの木馬を操作しようとしてもその前にパケットフィルタでブロックされるので修復するまでの時間稼ぎになります。

一度UNIXとTCP/IPについて勉強されることをお勧めします。

> セキュリティー対策を講じる前に、、、
個人的にはセキュリティー対策を講じる前にユーザの啓蒙が先決だと思います。
Docomoがi-modeのメールアドレスを変更するように通知したことや、auがインターネットからcメールへの送信を停止するように、、

この回答へのお礼

回答ありがとうございます。
私には少し難しかったですけど勉強になりました。
これからも日々スキルアップに励んでいきたいと思います。

>ユーザの啓蒙が先決だと思います
確かにその通りだと思います。セキュリティーに対する意識の低さが問題なんですね。

お礼日時：2001/10/03 21:26

No.5 回答者： D-MAKER 回答日時： 2001/10/02 20:37

こんばんは。

補足いただいたので、できるだけアドバイスしましょう。
一日で全て解決しようと思わないでくださいね。
がっちりしようと思えば、それなりに勉強しなくてはなりませんから。

まずは、問題を整理します。
SIMさんの環境はきっとこんな風になっているのでしょう。
ADSLモデム－ルーター＋サーバ
　　　　　　　　＋ＰＣ
　　　　　　　　＋ＰＣ
（間違っていたら指摘してくださいね。）
この環境で、どのようなセキュリティがかかっているか考えると、外部からのアクセスは基本的にルーターのＮＡＴだけで支えられていることになります。
サーバのファイアウォールはサーバ自身を守ることはできても他のＰＣはガードできていません。
ここまでは、いいですよね。

ＰＣにファイアウォールをインストールすればある程度のセキュリティを確保できますが、根本的な解決にはなりません。理由は、サーバに対しては何の対策も施していないからです。ここは一発、ルーターでガードする方がいいでしょう。

ガードについての考え方はとりあえず、ここまで。

次は、ちょっと視点を変えて、クラッカーの立場から考えます。クラッカーは、まずターゲットのＩＰアドレスを決定したら、そこで実行されているサービスを探します。
ポートスキャンをするわけですね。
ポートスキャナーは、インターネットで探せばただで手に入ります。ポートスキャンすれば、どんなサービスが実行されているか一目瞭然ですから、そこを狙ってくるわけです。
さて、SIMさんのサーバ環境を考えると、HTTP(80)は提供しなければならないサービスなんですよね。
それ以外について考えて見ましょう。
FTP(20、21)は本当に必要ですか？
他にもSMTP(25)、POP(110)は？
２台のＰＣのためのメールサーバとして利用しているのかな？
VPN(1723)は、ウェルノウンポートではないので、まぁおいておいてもいいでしょう。
ということで、ポートスキャナーを利用してウェルノウンポートをスキャンして不要なポートを探しましょう。
これがわかれば、どんなセキュリティをルーターにかければいいかがわかります。
特に注意しなければならないのは137番から139番です。
Windowsのネットワークコンピュータでは、ここのポートを利用しています。ここがむき出しになっていると共有フォルダに対してアクセスできるようになります。
（NetBEUIってプロトコルです。）

ここまでの説明で、わからない言葉があれば、インターネットで探してください。セキュリティに関してはやさしい言葉なので、これくらいは探して勉強してくださいね。
あと、ＮＡＴの動作はきちんと理解していますか？

もう１つ。宿題です。
ルーターのセキュリティのかけ方を調べておきましょう。
ルーターのマニュアル（SIMさんの補足から利用されているルーターはダイアルアップルーターだと思うのですが）に書いてあります。
全部は理解しなくてもいいです。
ルーターはインターネット（外部）からサーバ、ＰＣ（内部）に通していい情報と内部から外部に通していい情報をきちんと分けてブロックします。
仕組みはファイアウォールと同じです。
設定の仕方をちょっとかじっておくと、後でかなり楽になります。

ざっと書いてみましたが、どうですか？
時間があれば、明日にでもまた補足します。

参考URL：http://www.atmarkit.co.jp/fsecurity/special/07id …

この回答への補足

親切な回答ありがとうございます。
大変勉強になります。

私の環境で説明不足だった部分を補います。
ドメインを取得してあります。その取得したドメインのDNS（ドメイン取った所の提供する）のエイリアスに無料で提供される他社のダイナミックDNSを指定するといった方法でサーバを運用しております。（雑誌に書いてあった）
ついでにメールサーバも立ててみようという気になってSPA Mail Server（もしかしてちょっと違うかも？）というWIN2000用のシェアウエアでメールサーバも構築しました。このメールサービスは数人の友達等に提供してます。
そしてFTPはIISのFTPサービスを使っております。これも友達等で自由にファイル（デジカメ写真等）の交換をできる場を提供しています。FTPのディレクトリはデフォルトから変更してあります（Dドライブ）。
VPNはちょっと試してみたくなり最近設置しました（テスト中）。

それでD-MAKERさんのおしゃったようにポートスキャンをかけてみました。結果は自分で空けてないport以外は閉じてました。
そこで新たな疑問が生まれました。
NATとパケットフィルタリング（両方ともルータの話）の違いがいまいちよく分かりません。NATで開けてないportは閉じてるってことですよね？それだとパケットフィルタリングの意味がないように思えるのですが？
そこら辺がよく分かりません。また教えていただけると幸いです。

最後に感想です。
私が怖いと思った事は大したスキルがあるわけでもないのに雑誌等を読みどんどんサービスを提供していってるということなんです。セキュリティー対策を講じる前にサーバを公開してしまっているということです。やはりセキュリティーが先ですよね？

補足日時：2001/10/03 12:35

No.4 回答者： selenity 回答日時： 2001/10/02 10:27

CodeRedはサービス拒否攻撃ではなくサービス停止攻撃になります。

なぜか勝手にIISのサービスが停止している何てことがあるそうです。

また感染後の攻撃対象の選定ですが、CodeRedはランダムに、CodeRedIIは自身(感染したマシン)のIPアドレスに近いアドレスを選択し相手を攻撃します。

Nimda対策を施せばCodeRed対策は含まれています。
「その後の各種パッチ」ですが、
・MS01-044は適用していますか？
・IE5.xのSP2またはIP6になっていますか？

この回答へのお礼

回答ありがとうございます。
お礼が遅れてすいませんでした。
疑問が解けました。
それにしても厄介なウィルスですね。NIMDAもCodeRedも・・・

お礼日時：2001/10/03 21:29

No.3 回答者： m_kazu55 回答日時： 2001/10/02 00:47

> /default.ida XXXXXXXXX（中略）%u0078%u0000%u00=a

Code Red の変種である、Code Red II ワームが侵入を試みた場合に採られるログです。
オリジナルの Code Red ワームでは XXX... の部分が NNN... になります。


> /c/winnt（中略）/cmd.exe /c+dir

これは、Nimda ワームが侵入を試みた場合に採られるログです。
他に下記のようなログも、Nimda ワームの仕業です。

/scripts/root.exe?/c+dir
/MSADC/root.exe?/c+dir
/d/winnt/system32/cmd.exe?/c+dir
/scripts/..%5c../winnt/system32/cmd.exe?/c+dir
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
/msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe?/c+dir
/scripts/..チ../winnt/system32/cmd.exe?/c+dir
/scripts/winnt/system32/cmd.exe?/c+dir
/winnt/system32/cmd.exe?/c+dir
/scripts/..%2f../winnt/system32/cmd.exe?/c+dir


> ちなみに攻撃してくるIPは自分と似たIPが多いです。

これは、ウィルスの性質です。
全くランダムな IPアドレスを攻撃するより、自分に近い IPアドレスに攻撃した方が、標的になる IPアドレスが多いと言う理由のようです。

最後にですが、これからはサーバだけではなく、セキュリティについても知っていた方が良いことが多いので、一緒に勉強されては如何でしょうか。

この回答へのお礼

回答ありがとうございます。
お礼が遅れてすみませんでした。
NimdaとCodeRedの特性がよくわかりました。

>これからはサーバだけではなく、セキュリティについても知っていた方が良いことが多いので、一緒に勉強されては如何でしょうか。

今回皆さんの回答を読ませて頂いて痛感しました。
日々精進しようと思います。
ありがとうございました。

お礼日時：2001/10/03 21:35

No.2 回答者： D-MAKER 回答日時： 2001/10/01 21:55

こんばんは。

自分のわかる範囲でお答えさせていただきます。

>/default.ida XXXXXXXXX（中略）%u0078%u0000%u00=a

はCodeRedによるアタックだと思われます。
参考URLに関連記事を載せておきますね。
一読されることをお勧めします。
（ちなみにこのアットマーク・アイティのサイトは結構役に立つ情報が載っています。これからの参考にもなるのでマイクロソフトのサポートオンラインとあわせてご覧になることをお勧めします。）

対処の方法は
http://www.asia.microsoft.com/japan/technet/secu …
に書いてあります。こちらも参考にしてください。

>/c/winnt（中略）/cmd.exe /c+dir

もアタックです。
数が多くないようなので、パッチ等でカバーすれば当面は大丈夫だと思います。
各種パッチが当てられているようですが、足りないパッチがありましたら、上記ＵＲＬや参考ＵＲＬを参考にして追加してくださいね。

それから、文面からは判断できなかったのですが、IISの設定で、c:\Inetpub\wwwrootの設定を変更してありますか？
クラッカーは大抵、OSのデフォルトをついてきます。
デフォルトのページはc:\Inetpub\wwwrootではなく、違うドライブに変更しておきましょう。できれば、OSも違うドライブにインストールするとなおＯＫなのですが、OSの再インストールは厳しいものがあるので、IISの設定ぐらいは変えておきましょう。
勉強目的と書いてあったので、これは必要に応じてなのですが、できればファイアウォールかプロキシー・サーバを立てておいたほうが気休めになります。
それから不要なサービスもわかる範囲内で停止したほうがいいです。
前者は、使用していないポートからのアクセスをカットできます。後者は、万が一、アタックされても被害を少なくすることができます。

>ちなみに攻撃してくるIPは自分と似たIPが多いです。

これは、同じプロバイダーの人か、同じアクセスポイントからアクセスした人の可能性が高いです。
（断言はできません。あくまで可能性の話です。）
ダイアルアップで攻撃されると、個人レベルでは対処できません。（ダイアルアップするたびにＩＰアドレスが変わるので、ユーザを特定できないのです。）
プロバイダーからだと、誰が、いつ、どの電話番号からかけてきて、どのＩＰアドレスを取得したか、ログを見ればわかりますが、個人にはプライバシーの問題上公開されません。

あまり回答にはなっていませんが、サーバを立てる場合は、ある程度、自衛に心がけましょう。被害をこうむるのが自分だけなら問題ないのですが、踏み台にされると大変なことになります。知らない間に加害者にされます。

最後はちょっと脅かしが入ってしまいましたが、自衛の意識と、SIMさんの努力があれば（ログチェックしているみたいだし）大丈夫だと思いますよ。

あと何か不明な点がありましたら、補足で書いてください。またお答えしたいと思います。
勉強がんばってくださいね。

参考URL：http://www.atmarkit.co.jp/fwin2k/insiderseye/200 …

この回答への補足

丁寧な回答ありがとうございます。
どうやら
/c/winnt（中略）/cmd.exe /c+dir
ってのはD-MAKERさんの教えてくださったサイトによるとNIMDAっぽい感じですね。アタックが始まった時期とNIMDA発生時期が重なりますし。

>IISの設定で、c:\Inetpub\wwwrootの設定を変更してありますか？

とくにセキュリティーを意識したわけではありませんが、なんか邪魔だったので最初にあったページは消してあります (^^;
現在のページのファイルはシステムとは別のHDDに適当なディレクトリを作って置いてあります。これでいいのでしょうか？

とても親切なD-MAKERさんに甘えてさらに質問があります。
我が家の環境は3台のPCがありADSLモデムとサーバの間にルータが入ってます。
3台のPCはそれぞれクラスCのIPを静的に割り当て
ルータのNATでport20(FTP),21(FTP),25(SMTP),80(HTTP),110(POP),1723(VPN←試験的に)をサーバのアドレスに変換してます。サーバにはZoneAlarmというフリーのファイアウォールソフトを入れてます。
ルータのパケットフィルタリングは使っていません。（なにをフィルタしたらいいかよくわからないから (^^; ）
大体セキュリティー対策はこのぐらいでよろしいでしょうか？不足してる部分を指摘していただけるとありがたいです。
それからWIN2000の不要または危険なサービス、塞ぐべきport、OSデフォルトの設定の変更すべき個所等教えていただけると幸いです。（参考サイト等でも結構です）
お願い致します。

個人とはいえサーバを管理するものとして自衛の意識とスキルアップを心がけて行きたいと思います。

補足日時：2001/10/02 00:31

No.1 回答者： himitsu 回答日時： 2001/10/01 21:49

ログファイルの内容から、十中八九、Coderedのアタック受けている可能性があります。

参考URLに詳細が記述されていますので、ご参考になさって下さい。

私の知人もCoderedにやられ、原因不明のサーバダウンが頻発して悲惨なことになっていました。お気をつけ下さい。

参考URL：http://www.ipa.go.jp/security/ciadr/vul/20010727 …

この回答へのお礼

早速の回答ありがとうございます。
CodeRedのアタックですか・・・
それならパッチも当てたし大丈夫そうです。
himitsuさんの教えてくださったサイトにこのLOGが残れば感染してないって書いてあったのですこし安心しました。
ありがとうございました。

お礼日時：2001/10/01 23:27