Code Redはログから“アシ”がつく

Code Red IIが侵入を試みた痕は，ログファイルに残されている。では，どうやってアクセスログを捕捉すればいいのだろうか？

【国内記事】

2001年8月8日更新

　「Code Red II」はオリジナルの「Code Red」を参考にした別物と見られ，より強力・悪質だ。オリジナルを「Code Red v.1」，その改変版が「Code Red v.2」とされ，今回特に猛威を振るっている新種は「Code Red v.3」と呼ぶ場合もある。

　見分け方は簡単，Webサーバのログを見れば一目瞭然だ。先頭のdefault.idaに続く連続文字列がNなら「Code Red」，Xが連続するなら「Code Red II」だ。

「Code Red」
/default.ida?NNNNNNNNNNNN 以下略

「Code Red II」
/default.ida?XXXXXXXXXXXX 以下略

　ではどうやって上記のアクセスログを捕捉すればいいのだろうか？　簡単だ。自分に割り当てられているグローバルIPアドレス上で他のWebサーバが動いていなければ，手元のWindows機でWebサーバを動かせばよい。作業は5分と掛からない。但しIISは不安だ。AN HTTPDなどがお勧めだろう。

　注意としては，Port番号は80番に固定し，パソコンの時計も合わせよう。また，パーソナル・ファイアウォール等で不正アクセスをブロックしている場合，セキュリティレベルを「中」程度に下げること。

　こうして待つこと数分，Code Red IIが侵入を試みた痕はすぐに網にかかる。先述のAN HTTPDではhttpd.logというログ・ファイルに痕跡が残る。

　Code Red IIに感染したIISは上記のような不正なHTTPリクエストを送ってくるが，それがどこの国からかも調べてみる。IPアドレスを手がかりに，（中国，台湾，韓国からのアタックが多いことも考えて，例えば）APNICのWHOISデータベースに聞いてみる。日本のJPNICや米国のInterNICでは分からない場合がある。

　このログから得られる情報はさらにある。アクセス者のIPアドレスに加え，裏口情報の植え付け痕だ。また攻撃者のマシンでは，Windowsのコマンド・インタプリタcmd.exeがroot.exeと名を変えコピーされる。ということはつまり，外部から誰でも（！）攻撃者のマシンにアクセスし，全権を掌握することもできるということだ。HDDをフォーマットすることさえ可能。となると，原理的にはCode Red IIの攻撃を「黙らせる」こともできるだろう。

関連記事
CodeRedの攻撃でルータも悲鳴
Code Redでも問題に――頭の痛いバッファオーバーラン
東京めたりっく通信の通信障害はCode Redが原因か
危険度はオリジナルを超える新種「Code Red II」
勢いの鈍ったCode Red，しかしまだ要注意
Code Redに改めて警戒を――世界に向けて異例の呼びかけ

関連リンク
AN HTTP Server
APNIC Whois
JPNIC Whois
トレンドマイクロ社 Code Red II 情報

Copyright © ITmedia, Inc. All Rights Reserved.

---