Code Redはログから“アシ”がつく

Code Red IIが侵入を試みた痕は,ログファイルに残されている。では,どうやってアクセスログを捕捉すればいいのだろうか?

【国内記事】 2001年8月8日更新

 「Code Red II」はオリジナルの「Code Red」を参考にした別物と見られ,より強力・悪質だ。オリジナルを「Code Red v.1」,その改変版が「Code Red v.2」とされ,今回特に猛威を振るっている新種は「Code Red v.3」と呼ぶ場合もある。

 見分け方は簡単,Webサーバのログを見れば一目瞭然だ。先頭のdefault.idaに続く連続文字列がNなら「Code Red」,Xが連続するなら「Code Red II」だ。

「Code Red」
/default.ida?NNNNNNNNNNNN 以下略

「Code Red II」
/default.ida?XXXXXXXXXXXX 以下略

 ではどうやって上記のアクセスログを捕捉すればいいのだろうか? 簡単だ。自分に割り当てられているグローバルIPアドレス上で他のWebサーバが動いていなければ,手元のWindows機でWebサーバを動かせばよい。作業は5分と掛からない。但しIISは不安だ。AN HTTPDなどがお勧めだろう。

 注意としては,Port番号は80番に固定し,パソコンの時計も合わせよう。また,パーソナル・ファイアウォール等で不正アクセスをブロックしている場合,セキュリティレベルを「中」程度に下げること。

 こうして待つこと数分,Code Red IIが侵入を試みた痕はすぐに網にかかる。先述のAN HTTPDではhttpd.logというログ・ファイルに痕跡が残る。

 Code Red IIに感染したIISは上記のような不正なHTTPリクエストを送ってくるが,それがどこの国からかも調べてみる。IPアドレスを手がかりに,(中国,台湾,韓国からのアタックが多いことも考えて,例えば)APNICのWHOISデータベースに聞いてみる。日本のJPNICや米国のInterNICでは分からない場合がある。

 このログから得られる情報はさらにある。アクセス者のIPアドレスに加え,裏口情報の植え付け痕だ。また攻撃者のマシンでは,Windowsのコマンド・インタプリタcmd.exeがroot.exeと名を変えコピーされる。ということはつまり,外部から誰でも(!)攻撃者のマシンにアクセスし,全権を掌握することもできるということだ。HDDをフォーマットすることさえ可能。となると,原理的にはCode Red IIの攻撃を「黙らせる」こともできるだろう。

関連記事
▼ CodeRedの攻撃でルータも悲鳴
▼ Code Redでも問題に――頭の痛いバッファオーバーラン
▼ 東京めたりっく通信の通信障害はCode Redが原因か
▼ 危険度はオリジナルを超える新種「Code Red II」
▼ 勢いの鈍ったCode Red,しかしまだ要注意
▼ Code Redに改めて警戒を――世界に向けて異例の呼びかけ

関連リンク
▼ AN HTTP Server
▼ APNIC Whois
▼ JPNIC Whois
▼ トレンドマイクロ社 Code Red II 情報

[船橋法典,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.


モバイルショップ

最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!

最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!