2001年1月27日 改定
サイトに侵入されると、場合によっては他のサイトの攻撃に利用するための攻撃ツールをサーバに挿入されることがあります。
以下では幾つかのアタックツールの名前とそれに対する対応方法を説明します。なおここで紹介したアタックツールの内、SecurityFocus にて trinoo、TFN、そしてstacheldrahtの検出プログラムと防御用プログラムがあるので利用すると良いでしょう。
また、遠隔操作のアタックツールの場合には、遠隔操作用のポートをルータなどでフィルタリングしておくことで、仮にアタックツールを混入されても遠隔操作できないようにするべきでしょう。
代表的なアタックツールの種類
| ツールの名前 | ツールの概要 |
|---|---|
| TFN(TFN2K) | これを仕掛けられると、遠隔地からコントロールされて、他のサイトのDoS攻撃を行います。Yahooの攻撃に利用されたツールとして有名です。 |
| trinoo | これを仕掛けられると、遠隔地から27665/tcp、27444/udp、31335/udpのポートを使ってコントロールされて、他のサイトのDoS攻撃を行います。 |
| Stacheldraht | trinooと同じく、遠隔操作可能な分散DoS攻撃ツールです。 |
trinooを仕掛けられると、そのマシンは他のサイトへのDoS攻撃の為の攻撃用マシンとされてしまいます。この悪意プログラムは遠隔地にある同じプログラムを仕掛けられたマシンと連携して攻撃対象を攻撃します。そのため、攻撃を仕掛けられたサイトでは、ネットワークのトラフィックが飽和してしまい正常にネットワークが利用できなくなります。これらの攻撃ツールは遠隔地にいるクラッカーが遠隔操作で攻撃指示を行えるようになっています。このとき遠隔操作に使われる主なネットワークポートは以下の通りです。
・27665/tcp
・27444/udp
・31335/udp
このアタックツールはこれまでUNIX系のものが存在することが知られていましたが、現在ではWindows動作するものが存在します。
Windows系の場合、特にWindowsNT(2000)に仕掛けられた場合には、次の方法でそれを確認することが可能です。 [Ctrl]−[Alt]−[DEL]で表示されたダイアログから、タスクダイアログを開きます。そして動作中のタスクの中にService.exe(Services.exeではない)事を確認します。このタスクがある場合にはtrinooが仕掛けられています。
これを削除するには、エクスプローラの検索でService.exeを探して、これを削除したならタスクダイアログからこれを終了させればOKです。
Stacheldrahtを仕掛けられると、そのマシンは他のサイトへのDoS攻撃の為の攻撃用マシンとされてしまいます。この悪意プログラムは遠隔地にある同じプログラムを仕掛けられたマシンと連携して攻撃対象を攻撃します。そのため、攻撃を仕掛けられたサイトでは、ネットワークのトラフィックが飽和してしまい正常にネットワークが利用できなくなります。これらの攻撃ツールは遠隔地にいるクラッカーが遠隔操作で攻撃指示を行えるようになっています。このとき遠隔操作に使われる主なネットワークポートは以下の通りです。
・1660/tcp
・65000/tcp