「ポートスキャン(*)を用いた不正アクセスについて」(岡田直資) (*) 多くのホストのネットワークサービスポートに順次アクセスして、各ポー トに対応するサービスに存在するセキュリティ上の弱点を探し出す攻撃 ○朝日新聞 7月 3日朝刊 『海外ネットで「日本侵入」が例示され同時多発不正アクセス』 詳細(JPCERT/CC) http://www.jpcert.or.jp/info/98-0004/index.html メーリングリスト等の情報と総合すると ・自動的にポートスキャンを行うツールが 6月下旬に公開 ・サブドメインまたはサブネットワーク全体を順番に攻撃 ・説明書に *.or.jp や *.ac.jp が例として挙げられている ・6月 27日から日本の各サイトで攻撃が確認されている ○我々の研究室のホストのログをチェック hostA (Linux RedHat) /var/log/message Jun 26 13:43:03 hostA telnetd[3949]: ttloop: peer died: Success Jun 26 13:43:17 hostA syslog: error: cannot execute /usr/sbin/ipop3d: No such file or directory /var/log/syslog Jun 26 13:43:03 hostA in.telnetd[3949]: connect from 142.165.117.30 Jun 26 13:43:17 hostA ipop3d[3950]: connect from 142.165.117.30 Jun 26 13:43:19 hostA in.telnetd[3951]: connect from 142.165.117.30 hostB (Linux TurboLinux) /var/log/messages Jun 26 13:43:08 hostB telnetd[2056]: ttloop: peer died: Success Jun 26 13:44:14 hostB telnetd[2058]: ttloop: read: Connection reset by peer /var/log/secure Jun 26 13:43:08 hostB in.telnetd[2056]: connect from 142.165.117.30 Jun 26 13:43:27 hostB in.telnetd[2058]: connect from 142.165.117.30 hostC (BSD/OS) Jun 26 13:42:30 hostC popper[22344]: (v2.1.4-R3) Servicing request from "ts00ac30.sk.sympatico.ca" at 142.165.117.30 Jun 26 13:42:31 hostC popper[22344]: -ERR POP timeout Jun 26 13:42:31 hostC popper[22344]: (v2.1.4-R3) Ending request from "" at (ts00ac30.sk.sympatico.ca) 142.165.117.30 我々の研究室も攻撃を受けたことが分かった。上記のホストはいずれも tcp_wrapper が導入されていたためにログに形跡が残っていた。これらのホス トに限って言えば、侵入には失敗したようだ。だが他のホストは分からない。 ○セキュリティ対策の為の情報源 CERT/CC (http://www.cert.org/) CERT(computer emergency response team) Coordination Center セキュリティホール、不正アクセス・攻撃、それらへの対策に関する情報を提 供。 CERT/CC Advisories (http://www.cert.org/advisories/index.html) CERT/CC Summaries (http://www.cert.org/summaries/index.html) CIAC (http://ciac.llnl.gov/) Computer Incident Advisory Capability 同じく、セキュリティホールに関する情報を提供。 JPCERT/CC (http://www.jpcert.or.jp/) 日本での攻撃に関して情報を提供。本家 CERT/CC の補完的存在。sendmail コ ンパイルの手引きあり。 Internet Watch (http://sphere.watch.impress.co.jp/internet/) 重要なセキュリティホールについては記事が出る。 Security Watch (http://www.ky.xaxon.ne.jp/~deerpark/ からリンク) セキュリティに関するニュースを掲載。 linux-security-jp Mailig List(http://www.3ware.co.jp/opensoc/index.html) セキュリティに関心を持つ Linux ユーザのための情報交換のメーリングリス ト。他の OS の話題も可。 SunSolve Online Public Patch Access (http://sunsolve.sun.com/sunsolve/pubpatches/patches.html) SunOS の Recommended Patch と Security Patch。 ○付録「はじめての SPAM 中継攻撃」 メールサーバ hostD の/var/log/syslog (メールアドレスは伏せ字) Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ... Relay operation rejected Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ... Relay operation rejected Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ruleset=check_rcpt, arg1=, relay=[166.55.80.144], reject=571 ... Relay operation rejected Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ruleset=check_rcpt, arg1=, relay=[166.55.80.144], reject=571 ... Relay operation rejected 以下同様のログ多数 SPAM 対策の情報源 SPAM の現状と対策 (http://www.ayamura.org/interop98/) sendmail バージョンアップマニュアル (http://www.jpcert.or.jp/tech/98-0001/index.html)