|
禁無断転載 
ポンポンネットあほ管理者とJAH柴田との会話 >From info@jpcert.or.jp Fri Dec 26 17:53:28 1997 Date: Fri, 26 Dec 1997 17:52:59 +0900 (JST) Subject: JPCERT#97121804 Re[2]: SPAM Mime-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" From: JPCERT/CC To: siva@po.jah.ne.jp Cc: postmaster@ppn.ne.jp, siva@po.jah.ne.jp, postmaster@po.jah.ne.jp, info@jpcert.or.jp はじめまして、JPCERT/CC の松尾と申します。 このたびは、ご多用中のところ、貴重な情報をご提供頂き誠にありがとうご ざいます。お送り頂きました情報は、今後の不正アクセス防止活動のため活用 させて頂きたいと存じます。また、もし今回の件に関しまして再度何かご連絡 を頂けるような場合がございましたら、Subject 行に 'JPCERT#97121804' と いう番号を付記して頂ければ幸いです。 At 17:05 97/12/18 +0900, SHIBATA Hiroyuki wrote: >不正アクセスについて、JPCERT/CC様に情報提供致しますので、 宜しくお願い致します。 >4. 不正アクセスの内容 >不正アクセスの分類: 弊社顧客 >からSPAMが送られてくる。 >内容は以下の通り。 >攻撃元 (もしわかれば): 会社) >既に実行した、不正アクセスへの対処手段: sendmail.cfの設定により、 > >受け取りを拒否 --- siva@po.jah.ne.jp 殿: メールの Received: ヘッダではなく、当該 SPAM メールを受信した際の sendmail の配送ログがございましたら、該当部分の情報をご提供頂けませ んでしょうか。もしログ等に貴サイトの重要な情報が含まれておりましたら、 その部分は除いて頂いても構いません。どうぞよろしくご検討くださいます ようお願い申し上げます。 --- postmaster@ppn.ne.jp 殿 貴サイトが不正侵入を受け SPAM メールの発信元になっていないか、ある いは、貴サイトの SMTP サーバが SPAM メールの不正な中継に利用されてい ないか、念のためご確認頂くことをお奨め致します。 「電子メール配送プログラムの不正利用 (予期しない中継)」に関しまして は、次の URL をご参照ください。 http://www.jpcert.or.jp/tech/97-0001/index.html --- 末筆ながら、貴社の益々のご発展をお祈り申しあげます。ご連絡ありがとう ございました。 敬 具 <ご案内> JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、 メーリングリストを開設しています。登録の方法等、詳しくは、 http://www.jpcert.or.jp/announce.html をご参照ください。 ====================================================================== Masahiro Matsuo, JPCERT/Coordination Center Email: info@jpcert.or.jp WWW: http://www.jpcert.or.jp/ TEL: +81-3-5575-7762 FAX: +81-3-5575-7764 PGP-key: ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key >From sayaka@powdermilk.jah.ne.jp Fri Dec 26 18:32:18 1997 To: info@jpcert.or.jp Cc: siva@po.jah.ne.jp, postmaster@ppn.ne.jp, postmaster@po.jah.ne.jp Subject: JPCERT#97121804 Re[2]: SPAM From: SHIBATA Hiroyuki Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Date: Fri, 26 Dec 1997 18:32:00 +0900 Sender: sayaka@powdermilk.jah.ne.jp いつもお世話になっております、InternetJAHの柴田です JPCERT/CC Fri, 26 Dec 1997 17:52:59 +0900 (JST)に出した 「JPCERT#97121804 Re[2]: SPAM」 にはこう書かれています: | はじめまして、JPCERT/CC の松尾と申します。 お世話になります。JPCERT/CC BOFの際は貴重なお話を聞く事が 出来て大変役に立ちました。:-) | siva@po.jah.ne.jp 殿: | メールの Received: ヘッダではなく、当該 SPAM メールを受信した際の | sendmail の配送ログがございましたら、該当部分の情報をご提供頂けませ | んでしょうか。もしログ等に貴サイトの重要な情報が含まれておりましたら、 | その部分は除いて頂いても構いません。どうぞよろしくご検討くださいます | ようお願い申し上げます。 当該メイルのlogは以下の通りです。 Dec 16 22:12:10 cosmo.jah.ne.jp sendmail[4355]: WAA04355: from= msgid=<199712161312.WAA09519@ppn1.ppn .ne.jp>, bodytype=8BITMIME, proto=ESMTP, relay=ns.ppn.ne.jp [210.156.228.2] Dec 16 22:12:10 cosmo.jah.ne.jp sendmail[4363]: WAA04355: to= このようなlogが12/20より現在に至るまで、520通ほど溜っております。 最新の不正アクセスはDec 26 00:34:03になっております。 | postmaster@ppn.ne.jp 殿 | 貴サイトが不正侵入を受け SPAM メールの発信元になっていないか、ある | いは、貴サイトの SMTP サーバが SPAM メールの不正な中継に利用されてい | ないか、念のためご確認頂くことをお奨め致します。 | 「電子メール配送プログラムの不正利用 (予期しない中継)」に関しまして | は、次の URL をご参照ください。 | http://www.jpcert.or.jp/tech/97-0001/index.html 恐らくWWWのCGIスクリプトを用いた不正アクセスであろうと思われます ので、上記URLに書かれております手法では回避出来ないものであると 思われます。 ppn.ne.jp様もISPのようですので、ppn.ne.jpのお客様の中で メイルを送信するようなCGIスクリプトを公開していらっしゃらないか ご確認してみては如何でしょうか。 過去に弊社が関わった事例では、WWWのformの入力内容をdecodeして メイルを送るCGIスクリプトを公開していた、あるISPから不正アクセス を受けた事がございます。そのスクリプトではGETメソッドでメイルの 送信先を自由に指定出来たために、不正アクセスの踏台にされました。 他所のWebの掲示版などにIMGタグでそのURLが書かれ、そのWeb掲示版 にアクセスがあると不正アクセスが行われるというものです。 お客様の中には、十分なセキュリティの知識を持ち合わせずCGIスクリプト を公開してしまう方がおり、知らず知らずのうちに自分のスクリプトが悪意 を持った第三者に悪用されてしまう場合もございます。そのような場合は 速やかに当該ユーザのCGIスクリプトを使用不可能にし、セキュリティの 教育を行うべきだと考えております。 以上、宜しくお願い致します。 -- コスモメディア株式会社 柴田浩幸 >From sayaka@powdermilk.jah.ne.jp Tue Dec 30 13:33:20 1997 To: postmaster@ppn.ne.jp Cc: info@ppn.ne.jp, root@ppn.ne.jp, MAILER-DAEMON@ppn.ne.jp, nobody@ppn.ne.jp, news@ppn.ne.jp, root@ppn1.ppn.ne.jp, info@ppn1.ppn.ne.jp, hostmaster@ppn.ne.jp, news@ppn1.ppn.ne.jp, query@ipro.ad.jp Subject: E-MAIL BOMBING From: SHIBATA Hiroyuki Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Date: Tue, 30 Dec 1997 13:33:09 +0900 Sender: sayaka@powdermilk.jah.ne.jp (このメイルは以前にもお送り致しましたが、御連絡がないようですので 再度お送りさせて頂きます。弊社の損害も重大になってきております。 早急に対処して下さい。) 管理者殿 コスモメディア株式会社 ネットワーク管理責任者 柴田 拝啓、弊社は東京でインターネットサービスプロバイダを運営するものです。 詳しくは さて、弊社顧客である、 >Received: by cosmo.jah.ne.jp for yusuke >(with Cubic Circle's cucipop (v1.21 1997/08/10) Tue Dec 16 23:07:31 1997) Received: from ppn1.ppn.ne.jp (ns.ppn.ne.jp [210.156.228.2]) >by po.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahgw97112512) with ESMTP id WAA04355 >for 9; Tue, 16 Dec 1997 22:12:53 +0900 (JST) >Message-Id: <199712161312.WAA09519@ppn1.ppn.ne.jp> Subject: Hello!! >From: archangel@darkside.com >Date: Tue, 16 Dec 1997 22:12:53 +0900 (JST) MIME-Version: 1.0 >Content-Type: text/plane >Content-Transfer-Encoding: 7bit >X-From_: archangel@darkside.com Tue Dec 16 22:12:10 1997 >へのつっぱりはいらんですよ。 現在、 以上、宜しくお願い致します。 -- コスモメディア株式会社 柴田浩幸 >From sayaka@powdermilk.jah.ne.jp Mon Jan 5 10:27:47 1998 To: info@ppn.ne.jp Cc: root@ppn.ne.jp, postmaster@ppn.ne.jp, postmaster@po.jah.ne.jp Subject: Re: E-MAIL BOMBING From: SHIBATA Hiroyuki 3:47:12 +0900" References: <199801031853.DAA29224@ppn1.ppn.ne.jp> X-Mailer: Mew version 1.54 on Emacs 19.28.1, Mule 2.3 Organization: InternetJAH, Tokyo, Japan. Mime-Version: 1.0 Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Date: Mon, 05 Jan 1998 10:27:29 +0900 Sender: sayaka@powdermilk.jah.ne.jp いつもお世話になっております、InternetJAHの柴田です info@ppn.ne.jpさんが Sun, 04 Jan 1998 03:47:12 +0900,Sun, 04 Jan 1998 03:35:09 +0900に出した 「Re: E-MAIL BOMBING」 にはこう書かれています: | アカウント登録で、nobodyが見当たりません。 恐らく一般ユーザではないので一般ユーザを検索しても見当たらないと 思います。nobodyは一般的に言ってシステムで使用するユーザで、多くの 場合、WWW daemonソフトウェアを起動するユーザです。CGIが起動される 場合、多くの場合nobodyユーザとなるシステムが多いです。 今回のe-mail bombingはCGIにより発信されているものと思いますので、 nobodyユーザで発信されているのだと思われます。 | 内容調査し、発見次第注意いたします。 | 大変ご迷惑おかけします。 現在でもe-mail bombは数百通届いております。被害が甚大になって きておりますので、早急に対処して頂きたいと思っております。 システム管理者の方と直接お話しがしたいのですが、メイルアドレスを お教え願えないでしょうか。 以上、宜しくお願い致します。 -- コスモメディア株式会社 柴田浩幸 >From sayaka@powdermilk.jah.ne.jp Mon Jan 5 13:23:22 1998 To: aono@ipro.ad.jp Cc: postmaster@ipro.ad.jp, postmaster@ppn.ne.jp, postmaster@po.jah.ne.jp Subject: E-MAIL BOMBING From: SHIBATA Hiroyuki Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Date: Mon, 05 Jan 1998 13:25:00 +0900 Sender: sayaka@powdermilk.jah.ne.jp 管理者殿 コスモメディア株式会社 ネットワーク管理責任者 柴田 拝啓、弊社は東京でインターネットサービスプロバイダを運営するものです。 詳しくは さて、弊社顧客である、 >Received: by cosmo.jah.ne.jp for yusuke >(with Cubic Circle's cucipop (v1.21 1997/08/10) Tue Dec 16 23:07:31 1997) Received: from ppn1.ppn.ne.jp (ns.ppn.ne.jp [210.156.228.2]) >by po.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahgw97112512) with ESMTP id WAA04355 >for WAA0951 9; Tue, 16 Dec 1997 22:12:53 +0900 (JST) >Message-Id: <199712161312.WAA09519@ppn1.ppn.ne.jp> Subject: Hello!! >From: archangel@darkside.com >Date: Tue, 16 Dec 1997 22:12:53 +0900 (JST) MIME-Version: 1.0 >Content-Type: text/plane >Content-Transfer-Encoding: 7bit >X-From_: archangel@darkside.com Tue Dec 16 22:12:10 1997 >へのつっぱりはいらんですよ。 現在、 info@ppn.ne.jpさんが Mon, 05 Jan 1998 12:14:15 +0900,Mon, 05 Jan 1998 12:17:49 +0900に出した 「Re: E-MAIL BOMBING」 にはこう書かれています: | 現在当方でのシステム管理は当方で行なっていますが、主力はIPCに | 依頼しております。 現在でもppn.ne.jpより日に何通ものe-mail bombが届いております。 責任の所在は一体どこにあるというのでしょうか。責任を取るつもり があるのでしたら、サーバのネットワーク接続を切るなどの処置が 取れると思いますが、如何お考えなのでしょうか。 弊社の方ではお客様に御迷惑がかかり、実際に損害も発生して おります。これに対してどのように責任を取るおつもりなのか お聞かせ下さい。 | IPCへ連絡しました! ジャンクmailの状況は確認取れましたが、 | mail from toのPG開発が必要となり、今検討中です。 何故でしょうか。 こちらでの推測は以下の通りです。 1) 発信者がnobodyであるところから、攻撃者はwww.ppn.ne.jpの CGIスクリプトを通じてメイルを送ってきている。 2) こちらで 3) 以下のようなメイルヘッダがついている事から、nobodyユーザが sendmail -fによって発信者を --- >X-Authentication-Warning: ppn1.ipro.ad.jp: nobody set sender to aya using -f --- 4) 5) 3), 4)より、攻撃者はwww.ppn.ne.jp上でCGIスクリプトを編集できる 人物である。 よってwww.ppn.ne.jp上のCGIスクリプトを調査し、該当する攻撃者を 割り出せば結構かと思います。 3)より攻撃者はwww.ppn.ne.jpのsendmailを使用していると推測されます。 一時的にsendmailの実行許可属性を000にしてみては如何でしょうか。 daemon modeのsendmailは取り合えずそのままにして様子を見ればシステムの 変更も少なく済むと思われます。 また、一時的にCGIの実行設定を無効にするのも良いと思われます。 以上の通り、追加のprogramは一切必要としません。FreeBSD上の操作 だけで完結すると思うのですが、如何でしょうか。 事態は緊急を要します。早急な対処をお願い致します。 | IPC (インターネットプロ)は青野さんが、詳しいのですが? | 本人へは、言いましたが、色よい返事が返ってきません。 弊社の被害も甚大になってきております。責任はどなたにあるの でしょうか。 | 私の方の、システムですので、単独に動けない状況ですので。 | 深刻ですので、取りあえずご連絡します。最初から、青野さんへは、 | 最初からお話してください。 | aono@ipro.ad.jp です。 | 宜しくお願いします。 関係各位には原因の追求と、早急な不正アクセスの停止、そして不正を 行った者に対しての厳重な注意を求めます。 -- コスモメディア株式会社 柴田浩幸 |
禁無断転載
怪文書保存館TOP