- PR -

匿名ユーザーに書き込み権限を与えたらどうなる?

1
投稿者投稿内容
未記入
会議室デビュー日: 2007/03/29
投稿数: 2
投稿日時: 2007-03-29 08:57
IIS 6.0 で,IUSR_<コンピュータ名>アカウントに書き込み権限を与えていたところ,ハッカーの犯行声明らしきhtmlファイルを置かれましたが,index.htmlの書き換えまではできなかったようです。
ファイルの状態を検査しましたが,上記のほかに異常はありませんでした。

どなたか以下についてご教示お願いします。
@ 具体的にどのような攻撃がおこなわれたのか?
A 再インストールの必要なないと考えていますが,それで大丈夫でしょうか?

よろしくお願いします。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-03-29 09:39
こんにちは。

引用:
未記入さんの書き込み (2007-03-29 08:57) より:

@ 具体的にどのような攻撃がおこなわれたのか?
A 再インストールの必要なないと考えていますが,それで大丈夫でしょうか?


A1.アクセス許可された場所にファイルの追加が行われたと思われます。

A2.IISの設定が問題ないと考えられるならよろしいと思います。
共有ホスティングガイド の24〜30頁を参考に環境の確認をされると良いでしょう。
# ↑(参考URL)はダウンロード形式です。

本題と無関係ですが、Windows外字(○数字)はWindows機以外でアクセスされる可能性
があるところでは使わないほうが良いです。
Tasuku
大ベテラン
会議室デビュー日: 2006/09/14
投稿数: 106
お住まい・勤務地: tokyo
投稿日時: 2007-03-29 15:22
WebDAVを有効にしているということはないですか。
その場合、httpのputメソッドでサーバ上に
ファイルを生成することが可能になるかと思います。

冬寂
ぬし
会議室デビュー日: 2002/09/17
投稿数: 449
投稿日時: 2007-03-29 16:05
(;´д`)・・・

すでに回答がついてますが、他に、phishingに使われていないか確かめてみる必要もあると思います。
(他にへんなファイルを置かれた気配がないか?そのファイルに対してのアクセスが無かったか?など)
(その前に、ログが改変されていなかったか?を見る必要があるけど、そこの所はBackDoorさんの言われた所を確認すれば分かるかも?)

# かなーり不安な気持ちになりましたが・・・参考の為に聞いているだけですよね?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-03-29 16:38
引用:

ハッカーの犯行声明らしきhtmlファイルを置かれましたが,index.htmlの書き換えまではできなかったようです。

ファイルの追加ができてたなら、
権限的にはファイルの上書き追加もできた可能性は高いと思います。
その場合、できなかったではなく、たまたまやられなかっただけでしょう。

再インストールの必要性云々の前に、
再設定の必要性、サービス停止の必要性検討が先。

悪意のある、管理者が想定してないサイトを、一般に晒してる/た、
って、外部公開Webサーバとしては、かなり大きなセキュリティインシデントかと。
内部向けなら、ご自由に判断を。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
未記入
会議室デビュー日: 2007/03/29
投稿数: 2
投稿日時: 2007-03-30 09:01
BackDoorさん,回答ありがとうございます。
共有ホスティングガイドは知りませんでした。
大変参考になります。
IIS6.0からデフォルト設定が強化されていますがそれで十分ではないことはよくわかりました。
この会議室を利用して知りたいことは,一体,何が起こったのかとい点にしぼりたいと思います。
デフォルトからの変更点は匿名ユーザに書き込み権限を与えた点だけです。

Tasukuさん,回答ありがとうございます。
WebDAVはデフォルトで無効と思いますので無効のままと思います。

冬寂さん,回答ありがとうございます。
フィシングサイトはありませんでした。
バックアップと比較して追加されたファイルは他にはありませんでした。
ファイルの作成日時前後に不審なログは全く残っていませんでした。
消されたのか,IISのログ機能がお粗末なのかはわかりません。

Mattunさん,回答ありがとうございます。
今回の攻撃は,匿名ユーザの書き込み権限を利用したものと理解しているのですが,IISEnhance.docに「匿名ユーザーは Web コンテンツを上書きすることができません。これにより、サイトの書き換え攻撃を防ぎます。」と書かれています。
これが本当なら,ハッカーは匿名ユーザから上位の権限に昇格できなかったのでトップページの改ざんをあきらめ,傍らにファイルを置くにとどまったと推測できるのですがいかがでしょうか。
それとも手加減してくれたのでしょうか。
1

スキルアップ/キャリアアップ(JOB@IT)