Code Redはログから“アシ”がつくCode Red IIが侵入を試みた痕は,ログファイルに残されている。では,どうやってアクセスログを捕捉すればいいのだろうか?
「Code Red II」はオリジナルの「Code Red」を参考にした別物と見られ,より強力・悪質だ。オリジナルを「Code Red v.1」,その改変版が「Code Red v.2」とされ,今回特に猛威を振るっている新種は「Code Red v.3」と呼ぶ場合もある。 見分け方は簡単,Webサーバのログを見れば一目瞭然だ。先頭のdefault.idaに続く連続文字列がNなら「Code Red」,Xが連続するなら「Code Red II」だ。 「Code Red」 「Code Red II」 ではどうやって上記のアクセスログを捕捉すればいいのだろうか? 簡単だ。自分に割り当てられているグローバルIPアドレス上で他のWebサーバが動いていなければ,手元のWindows機でWebサーバを動かせばよい。作業は5分と掛からない。但しIISは不安だ。AN HTTPDなどがお勧めだろう。 注意としては,Port番号は80番に固定し,パソコンの時計も合わせよう。また,パーソナル・ファイアウォール等で不正アクセスをブロックしている場合,セキュリティレベルを「中」程度に下げること。 こうして待つこと数分,Code Red IIが侵入を試みた痕はすぐに網にかかる。先述のAN HTTPDではhttpd.logというログ・ファイルに痕跡が残る。 Code Red IIに感染したIISは上記のような不正なHTTPリクエストを送ってくるが,それがどこの国からかも調べてみる。IPアドレスを手がかりに,(中国,台湾,韓国からのアタックが多いことも考えて,例えば)APNICのWHOISデータベースに聞いてみる。日本のJPNICや米国のInterNICでは分からない場合がある。 このログから得られる情報はさらにある。アクセス者のIPアドレスに加え,裏口情報の植え付け痕だ。また攻撃者のマシンでは,Windowsのコマンド・インタプリタcmd.exeがroot.exeと名を変えコピーされる。ということはつまり,外部から誰でも(!)攻撃者のマシンにアクセスし,全権を掌握することもできるということだ。HDDをフォーマットすることさえ可能。となると,原理的にはCode Red IIの攻撃を「黙らせる」こともできるだろう。 関連記事 関連リンク [船橋法典,ITmedia] Copyright © ITmedia, Inc. All Rights Reserved. モバイルショップ
最新CPU搭載パソコンはドスパラで!!
最新スペック搭載ゲームパソコン
FEED BACK |