.jp 集中 crack 関連

• 緊急警告: Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを (IPA: 2001.02.06〜)
• 【注意喚起】　中国語圏サイトで、日本のサイトを狙った攻撃が進行中 (訂正稿) (24 時間常時接続 ML: 2001.02.20)
  最初のものはこちら。
• ホームページ等に対する攻撃予告の情報について (内閣官房: 2001.02.22)
• Web ページ改ざんに関する注意喚起 (JPCERT/CC: 2001.02.23)
• ホームページ書き換え事案に関する対策について (警察庁: 2001.02.23〜)
• 緊急警告: DDoS攻撃に関する情報 (IPA: 2001.02.23)
• DDoS の踏台およびBINDなどのセキュリティ上の弱点に関する注意喚起 (JPCERT/CC: 2001.02.27)
• BIND のセキュリティ上の弱点に関する注意喚起(続報) (JPCERT/CC: 2001.03.09)

• EVERYDAY PEOPLE (cracked 情報多数)
  Honker Union of China などによる日本のサイトへの攻撃情報
• 対 日本サイトアタック情報掲示板
• 24 時間常時接続 ML (アーカイブ)
• Security Talk ML (アーカイブ)
• 状況整理と対応私案 (武田さん)
• 不正アクセス関連情報 (総務省通信総合研究所非常時通信研究室)

• Honker Union of China (H.U.C)
  (不用心にアクセスすると攻撃される可能性もあるので注意)
  犯行声明

• Newbies
  Windows を重点的に攻撃しているようです。

　状況については、武田さんの 状況整理と対応私案 がよくまとまっています。こちらも参照してください。

　情報があれば、 対 日本サイトアタック情報掲示板 や 24 時間常時接続 ML に書いてください。

• [aml 21438] Re: [pmn 14033]教科書検定通過反対のネット攻撃だって、紅いお客さんからなどの便乗攻撃もあったりするのかな。 いちおう気をつけておきましょう。 なぜか [aml 21437] がアーカイブにないなあ。

• 関係あるのかないのか知りませんが、 「Lion ワーム」というやつがのさばっているようです。 BIND worm (Lion Worm) を参照。

• IPA の DDoS攻撃に関する情報 が更新されています。

• 日経コンピュータ 2001.3.12 の記事 「止まらないWebサイトの改ざん被害 原因の多くは初歩的なミス」。

• JWNTUG Newsletter にも書きましたけど、 Internet Information Server をご利用いただいているお客様へ: Web コンテンツの改ざんに対する防御策についての説明 はけっこう改訂されているので、 更新履歴 を参照。 また FAQ もご一読を。秀逸です。

• ホームページ書き換え事案に関する対策について (警察庁) が更新されています (from EVERYDAY PEOPLE)。 穴事例として、IIS, bind, FrontPage, パスワード未設定 (!) が挙げられています。 [connect24h:02065] はじめまして。やられました(;_; はまた別の穴を突かれてる可能性があります。 TL3 ってデフォルト何が上がるんだろ。きっとやたらめったら上がりますよね。

• BIND のセキュリティ上の弱点に関する注意喚起(続報) が出ています。

• Update to NIPC Advisory 00-060 "E-Commerce Vulnerabilities"、U.S. でも状況はあまり変わらないようで。 e-commerce なので MS SQL attack な話も含まれてますね。

• [connect24h:02027] トロイ発見！！ で、named アタックの後でトロイの木馬な klogd (source つき) を入れる例が紹介されています。

• [connect24h:02046] Re: 次は unicode 系の攻撃でしょうか？ で攻撃方法が紹介されている URL が紹介されています。

• IPA の DDoS攻撃に関する情報 が更新されています。 また、２００１年２月ウイルス・不正アクセス届出状況 でも DDoS に触れられています。

• HTTP_REFERER 通信 >> Honker Union of China などによる日本のサイトへの攻撃情報 に 未確認情報：次の攻撃対象の一覧？３ 3/7 というのが出てて、 [stalk:00059] [Summary] [I] 　ターゲット予告 にまとめがある。

• 対 Windows NT/2000 (IIS) な UNICODE attack ツールと方法詳細 が出ているとの情報。 あれ、%c1%1c って日本語版で効いたっけ? まあこれじゃなくても、効く encode を使えばいいんだけど。 それは確かに実在するから。

  で、この例では UNICODE bug を利用して、tftp 経由で ncx99 (special な netcat か?) を copy して root shell を上げている。 この場合、port 69 (tftp) や port 99 が閉じてあるような場所ではダメなんだけど、 確かどこぞでは tftp もイラナイという exploit があったような気がするし。

  というわけで、MS00-086: 「Web サーバーによるファイル要求の解析」の脆弱性に対する対策 をしてあれば防げる話ですので、適用しましょう。

• Internet Information Server をご利用いただいているお客様へ: Web コンテンツの改ざんに対する防御策についての説明 (マイクロソフト)
  更新履歴や FAQ も参照のこと。 特に FAQ は秀逸。
• NT Security (Port139)
• IIS とりあえずチェックリスト (Port139)
• 緊急警告 Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを (IPA)
• Windowsのクラッキング対策“総まとめ” 「BIND」，「MDAC」，「HTR」に加え，Windowsのネットワーク機能にも注意 (日経 IT Pro)
• Windows NT/2000 セキュリティ対応状況 (ここ :-)

• FreeBSD
• NetBSD
• OpenBSD
• RedHat Linux
• Turbo Linux
• Vine Linux
• Kondara MNU/Linux
• Debian GNU/Linux
• Sun
• HP
• IBM
• SGI
• PC-UNIX security hole memo

• twwwscan (Windows)
• 「Web サーバーによるファイル要求の解析」確認テスト (長崎ネットワークサービス)
• Nessus (UNIX)
• SAINT (UNIX)
• SARA - Security Auditor's Research Assistant (UNIX)

• DDoSPing
• Nessus
• ALERT: TRINOO/Tribal Flood Net/tfn2k

• Webページを書き換えられてしまったら（NT+IIS編） (プラスセック)
• 侵入されてしまったら (academic office)
• バックドアとのつき合い方 (みっきーのネットワーク研究所)

• ウェブ改ざん被害が続出　中国ハッカー集団による? (毎日: 2/21)
• JPドメインのサイトが相次いで改ざん，すべてのサーバーで対策を (日経 IT Pro: 2/22)
• 中国黒客猛黒日本站50次 (gznet.com: 2/22)
• 中国語でのハッカー攻撃、70 機関が被害 (読売: 2/23)
• HP 改ざん被害 70 件＝中国に情報提供依頼−警察庁 (時事: 2/23)
• 70サイトで書き換え被害、警察庁が警戒を呼び掛け (毎日: 2/23)
• Scan編集部−印刷業界大手の大日本印刷など、日本サイトの改竄が多発（Scan） (バガボンド: 2/23)
• 官庁 HP 攻撃は続行と警告　反中姿勢に抗議とハッカー (河北新報社: 2/24)
• 県内企業がハッカー被害／警視庁など捜査 (琉球新報: 2/26)
• くまげらネットの予備用 HP 書き換え／既に削除、実害なし (秋田魁新報: 2/27)
  (秋田くまげらネット)

• 〈緊急報告〉石原都知事の差別・排外主義が、警察行政の現場に顕現 —中国人かな、と思ったら１１０番— (aml ML)
• 神奈川区防犯協会 地域安全ニュース ピッキング窃盗団にご用心 (aml ML)
• 「大東亜戦争」がアジア独立助けたと発言　野呂田氏 (人民網日本語版)
• 中国外務省も野呂田発言を非難 (asahi.com)
• 「太平洋戦争に関する発言は間違っていない」野呂田氏 (asahi.com)

　Windows じゃなくてもヤラれています。 Linux, *BSD, Solaris などの UNIX を利用している場合も、既知の穴はきちんと塞いでおきましょう。特に弱点あり (古いバージョン) の wu-ftpd, ProFTPd, rpc.statd, LPRng, bind (named), sshd 1.x, sendmail, apache, php などが狙われる可能性があります (外から見えるサービスはみんな狙われるんですけどね)。 各ベンダーのセキュリティページ (上のベンダー情報に link あります) を参照してください。 イントラだけのつもりの、外には見せなくてもいいサービスについてはフィルタしましょう。

　ダンナ＠サポセンさんのまとめられた被害サイトの一覧と、 攻撃対象のリスト を あわせてみました。 ダンナ＠サポセンさんがさらに詳細なものをつくられましたのでそちらを。