Buffer Overflow in Some Implementations of IMAP Servers Buffer overflows in some POP servers Buffer Overflow in NIS+ Multiple Vulnerabilities in BIND Microsoft Windows-based Web Servers unauthorized access - long file names Vulnerabilities in CDE "smurf" IP Denial-of-Service Attacks IP Denial-of-Service Attacks Buffer Overrun Vulnerability in statd(1M) Program Sanitizing User-Supplied Data in CGI Scripts ftpd Signal Handling Vulnerability JavaScript Vulnerability Second vulnerability related to INN - ucbmail Vulnerability in innd MIME Conversion Buffer Overflow in Sendmail Versions 8.8.3 and 8.8.4(CERT Advisaryのリスト ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories より)
/etc/inetd.conf
) を見て,
finger,telnet,imap,pop などの行で,不要なサービスをコメントアウトします。
その後,inetd プロセスに kill -HUP シグナルを送るか,あるいはシステムを
再起動します。
/etc/rc*
) の中で,
これらのサービスを起動している行をコメントアウトします。その後,
該当するプロセスを kill するか,あるいはシステムを再起動します。
ftp://ftp.coop.org.tohoku.ac.jp/pub/isc/bind/src/などから入手できます。 ネームサーバではないマシンの場合は,2.1 で述べた方法で named (または in.named)を起動しない方が安全です。
/dev/reset /dev/pmcf1 /dev/pmcf2 /dev/pmcf3 /dev/pmcf4 /usr/lib/libsn.a
May 1 11:28:49 named[28464]: starting. named LOCAL-980501.020913 Fri May 1 02:09:13 EDT 1998 ^Iroot@:/usr/lib/tntbot/bind/named
ftp://ftp.coop.org.tohoku.ac.jp/pub/qpopper/などから入手できます。 POPサーバでないマシンは,popd を起動しないようにinetd.conf から削除する方が 安全です。
/etc/rc*
から削除した方が安全です。
/etc/syslog.conf
)や一時ファイル (/tmp/.nfs09
など)
に痕跡が残る場合があります。statd プロセスがファイルの作成に失敗したなどの
不審なメッセージを出力していないか確認して下さい。
ftp://ftp.cac.washington.edu/mail/imap.tar.Zなどから入手できます。
/usr/local/etc/httpd/logs/access_log*
等)を参照します。
ログの中に /phf
という文字列を含む行がある場合は,
攻撃を受けた可能性があります。
また同じ行のHTTPのステータスコードが200であれば,その攻撃が成功した
可能性があります。
http://SunSITE.sut.ac.jp/pub/archives/WWW/apache/distなどから入手できます。
ftp://sgigate.sgi.com/~ftp/security/19970501-02-PX
ftp://sgigate.sgi.com/~ftp/patches/
http://www.fccc.edu/users/muquit/Count.html
http://www.secnet.com/sni-advisories/sni-11.php_overflow.advisory.html
ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/anonymous_ftp_config
~ftp/etc
にはシステムの /etc/passwd
,
/etc/group
のコピー(ユーザ名やパスワードがわかるもの)
を置いてはいけません。Anonymous FTP へのアクセスの記録を残すようにし,
定期的に監視して下さい。
ftp://ftp.coop.org.tohoku.ac.jp/pub/sendmail/などから入手できます。
/etc/inetd.conf
からfingerの行をコメント
アウトした後,inetd プロセスに kill -HUP シグナルを送るか,あるいは
システムを再起動して下さい。
サブネットの入り口のルータで finger のポート(79/tcp)への外部からの
アクセスを阻止するのも一つの手です。
/etc/inetd.conf
に記述されているバイナリや,ネットワーク・システム関連のコマンド,
共有ライブラリなど(例えば login, su, telnet, netstat, ifconfig, ls,
find, du, df, libc, sync)を置き換えることがあるためです。
/etc/inetd.conf
が書き換えられていないか,またこのファイルに記述されている
プログラム自体に変更が加えられていないかを調べます。
/etc/passwd
ファイルが変更されていないかを調べます。
知らないユーザまたは空行が加えられていないか。
/etc/hosts.equiv
,
/etc/hosts.lpd
に外部のホストが追加されていないか,
.rhosts
ファイル(特にroot, uucp, ftp
等の .rhosts
)に不審点はないかなどを確認します。
ログファイルや hosts.deny
が削除されたり,
/dev/null
へリンクされていないか。
index.html
ファイルが不正に書き換えられていないか。
/dev
ディレクトリは,
侵入者がしばしばファイルを置いていくことがありますので,注意が必要です。
/tmp
ディレクトリのドットファイルも /tmp/.w0rm
,
/tmp/.w0rm0r
などが置かれることがあります。
.rhosts
ファイル,
/etc/hosts.equiv
に登録されているホストは
同様の被害にあっている可能性があります。
netstat -s
コマンドで表示される Icmp: Input: echo
の数が
(pingコマンド等による正常なものよりも)多ければ,しかも近くのホストで
似た状況ならば,外部からスキャンを受けた可能性が高いと判断されます。
/etc/hosts.equiv
や .rhosts
に `+'
が書かれている場合は消して下さい。また,
これらのファイルは world-writable であってはいけません。
また,Xsession
ファイルに `xhost +' という記述がある場合は
消して下さい。
/etc/ttyps
または /etc/ttytab
などで,
console以外には `secure' をつけないようにして下さい。
/etc/aliases
の不適当なエントリに注意して下さい。
特に `uudecode' や `decode' というエイリアスは消去して下さい。
/
,/etc
,
システム/ネットワーク設定ファイルには注意が必要です。
/etc/exports
ファイルをチェックします。