2006年9月21日

[users 6832] Re: ハッキング報告

早川と申します。

on 06.9.20 0:41 AM, blue rivers at blue_rivers@xxxxx wrote:

> 先ほどサーバーをクラックされたとのメールをした清水です。
> 皆さん、本当にいろいろとありがとうございます。
> アドバイスをいただきました皆様にお礼を申し上げます。
> ありがとうございました。

>
> サーバーのクラックされた状況からご説明させていただきます。
>
> サーバーは都内某データーセンター内にてUCOM回線にて
> 接続されているものでLANの構築はされていないものです。
> WEBサーバーとして利用する目的で、特殊なソフトを知人の
> 業者にインストールしてもらう為に、わかりやすいパスワード
> 1234を設定してインストールしてもらいました。
> すぐにパスワードを変更しておけばよかったのですが、
> 数日間そのままにしておき、いざ使おうというときになって
> rootでログインできない状態となりました。
(以下略)

telnetもしくはsshでリモートログインできるようにされていたと思いますが、
(状況から読み取ると)IPアドレスの制限はされていなかったようですね。
また、rootで直接ログインできる設定(←望ましくない)だったのでしょうか。

* * *

過去に手前のサーバーで観察したことがあるのですが、
IPアドレスを全解放しておくと、1つのサーバーに対して、
1日当たり平均十数個のIPアドレスからアタックがありました。
また、JPNICおよびAPNICのJPNIC管理分のIPアドレスに限定しても、
数日に1個程度のIPアドレスからアタックがありました。
(もちろん実際にはログインできないように設定してあります)

有名な某SSHアタックツールのソースには
(知っておくべきとは思いますが一応伏せておきます)
サンプルの一つとしてroot/1234というペアも入っていますし、
データを増やした派生版も随時発展していて、
root+安直なパスワード、ありがちなユーザー名+安直なパスワード
のデータを数千持っているバージョンもあるようです。
なので、数時間でも「オープン」にしておくとほぼ確実にクラックされます。
場合によっては数分でもやられます。

どのルートで入られたかはまだはっきりしていないようですが、
(ありふれているだけに)この線が高いようにも思います。

* * *

もろもろの安全対策についてはすでに書かれた方がいらっしゃいますので、
sshに限定しますと、
◎rootで直接ログインできるようには絶対にしない
◎安直なパスワードにしない
○リモートログインできるIPアドレスを絞る
  /etc/hosts.{allow,deny}
○リモートログインできるユーザーを絞る
  /etc/pam.d/sshd
  /etc/security/access.conf
・英語辞書にあるようなログインユーザー名にしない(日本語でも少しひねる)
といった対策をとっておくべきかと思います。

/etc/hosts.{allow,deny}で閉めておけば、
アタックには来ますが1回トライしたら去っていきます。
(続いて隣のIPアドレスに対してアタックしてきますが)
観察するにはIPアドレスを閉めずにユーザーを絞っておきますが、
海外のIPアドレスをオープンにしておくと煩すぎるので、
/etc/hosts.{allow,deny}で国内のIPアドレスだけに絞ってました。
(350行くらいのIPアドレス範囲を指定)

先方のIPアドレスを調べると、
いずれも管理が緩くて踏み台にされたものと思われますが、
専用レンタルサーバーで運用されている情報系企業のサーバーとか、
地域のISPのサーバーとか、企業の社内PCからと思われるものもありました。
大学だったか専門学校だったかもありました。

* * *

ということで、root/1234なんていうのは<一時的に>でもダメですよ。
サーバーがとぶだけじゃなく、下手すると会社がとびます。


--
With your dreaming, with your smile.
Hayakawa, Hiroshi <hayakawa@xxxxx>
Nagoya,Aichi,JAPAN ☆彡

_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月21日 00:39
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46264
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。