2003年10月のログを見ていると、ほぼ終息していように見られる。
米陸軍のIISサーバーが3月10日に攻撃を受けたという報告があり、また、「Windows2000」にセキュリティーホールがあったということですね。
そのせいなのか、2003.3.11から急にNimda系のログが急に増える。今までは、月に30回前後であったのが、1日に100回ものアタックログが
見られた。また、従来のアタック元のIPは、ばらつきがあったが、61.xxx.xxx.xxxとCodeRedと似た形となっている。MSは、なんとかならないのか!ログ例
61.xxx.xxx.xxx - - [21/Mar/2003:17:47:53 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6 858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u53 1b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 279 "-" "-"
サーバーを立ち上げて、ほぼ1年経過しましたが、相変わらず攻撃はやまないようです。2003年度1月からは、新しいグラフにてアタック数の推移を 記録することにしました。2002年度1年間のアタック数の推移を見ると、6月以降は、1日平均100回前後に減りましたが、相変わらずアタックはなくなりません。
2002.1.25に、Slammerワームと呼ばれ、SQL Server 2000のセキュリティーホールをつき、UDP/1434ポートへの大量のトラフィックを発生させる新しいワームに より、韓国を中心としてインターネットが一時麻痺しました。上のグラフを見ていただくとわかりますが、1.25は、極端にCoderedのアタック数が減っています。 新しいワームにより、古い方が減るのも変な話しです。いずれにしろ、しっかりセキュリティパッチをあててほしいものです。特にMS関係については!!!
CodeRedと思われるアタックは、 3月からグローバルIPを8個取得したことにより、攻撃元のIPアドレスが変化しました。数日間は、 202.xxx.xxx.xxxからのアタックが残りましたが、最近は、61.xxx.xxx.xxx のIPからのアタックに変わりました。CodeRedが、IPの近いサーバーをアタックすることが、証明されたということでしょうか。
CodeRedのログが多く、本来のログの分析が見にくいので、worm.logとして分けてログを取るようにしました。下に方法を掲載していますので、 参考にしてください。また、1ヶ月のデータを詳細に分析した結果も下に掲載しています。
Nimda系に関しては、攻撃してくるサーバーのIPは、ばらばらで、特定のIPからの傾向はありません。
ただ、毎月15日前後にアタックが集中しているのが特徴です。2003.1も31回のアタックのうち、15日前後が29回と なっています。
下が具体的なアタックの様子です。
212.xxx.xx.xx [16/Dec/2001:04:32:19 +0900] GET/default.ida?NNNNNNNNNNNNNN%u9090%u6858%%u00=a HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:18 +0900] GET /scripts/root.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:18 +0900] GET /MSADC/root.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:19 +0900] GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:19 +0900] GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:20 +0900] GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:21 +0900] GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:25 +0900] GET/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:25 +0900] GET/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:26 +0900] GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:27 +0900] GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:27 +0900] GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:28 +0900] GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:29 +0900] GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:29 +0900] GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:30 +0900] GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
202.xxx.xxx.xxx [16/Dec/2001:06:34:30 +0900] GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
Code Red と思われるdefault.idaのログは、数的にはほとんどありません。Nimda Worm と思われるcmd.exe roo.exeのログがほとんどです。
2001年12月16日〜20021月15日までのアタックの回数をグラフにしました。総数は、8000件近くです。徐々に減ってきてはいるようですが、まだまだ多いですね。1/9が異常に多くなっているのは、同一IPから144回、347回と異常なアタックあっために非常に多くなっています。
アタックしたIPがどれだけあったかを、日ごとにグラフにしました。1/9は、アタックをかけたIPの数は、総数から比べると少ないことがわかります。
同一IPから連続して何回アタックがあったか、グラフにしました。圧倒的に16回連続してのアタックが多いようです。なかには、数回連続したアタックを、数十回繰り返していたところもあります。
同一IPから2回以上アタックをかけたところが、どのくらいの間をおいてアタックをかけたかをグラフにしました。60以上のIPから連続してアタックしています。2,3日以内に 繰り返すパターンが多いようです。
アクセスログのアタックログが膨大になるので、Wormのログと通常のログをわけてみました。
vi /etc/httpd/conf/httpd.conf
<IfModule mod_setenvif.c> (951行目あたり)
SetEnvIf Requets_URI"default\.ida"worm
SetEnvIf Requets_URI"cmd\.exe"worm
SetEnvIf Requets_URI"root\.exe"worm (この三行を追加する)
</IfModule>
CustomLog /var/log/httpd/access_log common env=!worm (583行目あたりにあるので修正)
CustomLog /var/log/httpd/worm_log common env=worm (この一行を追加)
修正後に再スタートさせると、ログを分けることができます。
ディレクトリーについては、TurboLinux仕様ですから、Apacheの標準とは多少異なります。