国内サーバを踏み台にした SIP サーバ攻撃を JPCERT/CC が注意喚起 48
ストーリー by reo
munin で asterisk の存在を知りました 部門より
munin で asterisk の存在を知りました 部門より
ある Anonymous Coward 曰く、
JPCERT/CC が、主に UNIX / Linux 系サーバを対象としたインターネット公開サーバのセキュリティ設定に関する注意喚起を行っている (JPCERT-AT-2011-0002) 。
これによると、
- 5060/udp への Scan 活動が 2010 年 7 月頃より急増 (8 割はこの攻撃手法によるものらしい)
- インターネットに接続しているサーバに、なんらかの方法により侵入し、攻撃プログラムを設置 (/.old/aloha 以下)
- 設置した攻撃プログラムで SIP サーバをスキャン、見つけると辞書攻撃を行い、アカウント情報の入手を試みる
- これにより国際電話などを不正利用されるなども発生しているらしい (Asterisk を不適切な設定で利用した場合に発生し得る不正利用に関する注意喚起: JPCERT-AT-2010-0032)
- 踏み台になってるサーバは国内にも多数存在する模様
などなど。皆さんの所は大丈夫ですか ?
IPv6対応も忘れずに。 (スコア:1, すばらしい洞察)
ルータのIPv6ブリッジ機能を有効にしている方は、IPv6の方も忘れずに対応しましょうね。
IPv6に対応した、まともな家庭用ルータはないような気がする。
Re:IPv6対応も忘れずに。 (スコア:1)
結構売れてると思われるNECのWR8700等も対応してます
YAMAHAのRT58iも対応(こちらは自分で設定が必要ですが)
まあ、ほとんどのプロバイダではあえてIPv6オプションの契約をしない限りフレッツスクエア(v6)しか繋がりませんが
Re: (スコア:0)
>IPv6に対応した、まともな家庭用ルータ
IPv6ブリッジ機能だけで、IPv6対応したと言い張るルータが多い。
そりゃあんた、IPv6のブリッジであって、IPv6のルータじゃないだろと突っ込むことがしばし。
希少ないくつかのモデルは、6to4に対応していたりするものもある。
RA広報がまともにできたり、DHCPv6対応の設定ができるものはあったかな?
ましてや火壁の設定ができるものとなると……お寒い限りです。
せめて、ローカルのIPv6用火壁ぐらい設定した方がよいかも。
ポート5060 (スコア:0)
とりあえず
# nmap -sU -p5060 localhost
してLISTENしたらヤバイよヤバイよってことでいいんですかね
Re: (スコア:0)
localhost?netstatでいいんじゃね?
# nmapのUDPスキャンは信じちゃいけないって、じっちゃんが言ってた
ノシ先生 (スコア:0)
Re:ノシ先生 (スコア:2, 興味深い)
例えばですが
http://voip-info.jp/index.php/%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%... [voip-info.jp]
http://www.jms-solutions.co.jp/infinitalk/infinitalk.html [jms-solutions.co.jp]
IDENTIFICATION DIVISION.
AUTHOR YUKI-KUN.
個人 (スコア:0)
今回のは別にしてもサーバ全般で言うと
2chや某OKサイトを見ていると最近は素人が管理/保守/運用もまともにできる知識もないのに気軽に自宅Webサーバを公開しているからね。
Apacheのインストールだけは昔より簡単になって来ているからね。(xamppの存在やLinuxインストールも昔より手軽になど)
で企業のデータセンターより個人サーバは危険有るね。
個人でも、頑張れば大丈夫 (スコア:5, おもしろおかしい)
下手なデーターセンターより固いと断言する。
1.Fedora 最新版 を毎日アップデートして使っている。
2.メールは、qmail、 DNS は、djbdns を使用している。
3.Nagios で、全サーバーを監視している。
4.ClamAV で、全メールをスキャンし、全ファイルを定期的にスキャンしている。
5.迷惑メールは、simscan + spamassassin + Bogofilter+kakasiで、撃退している。
5.自ら全サーバーを毎日巡回して調査している。
これで、5年間運用しているが、今のところ、侵入された形跡は無い。
Re:個人でも、頑張れば大丈夫 (スコア:2)
私もそうでした。自信を持って。
iptables の改竄を見るまでは。
Fedoraは、所詮レッドハットの開発版。お外につながってるマシンで、侵入出来ないサーバなんて有りませんよ。
痕跡なんか残しません。分からないだけ。
hoihoi-p 得意淡然、失意泰然。
Re:個人でも、頑張れば大丈夫 (スコア:2, 参考になる)
rootkit削除したから大丈夫! [srad.jp]な話を思い出した
Re: (スコア:0)
#ここ半年見かけませんが
Re:個人でも、頑張れば大丈夫 (スコア:2, 参考になる)
http://yomi.mobi/read.cgi/tmp7/tmp7_tubo_1202227428 [yomi.mobi]
でその本人はこんな問題も起こしていた。
Re:個人でも、頑張れば大丈夫 (スコア:1)
いやー、こんな話があったとは知らなかったので大変興味深く読ませていただきました。ところで、このスレッドに出てくる
この leiqunni という人と、今回の大変おもしろおかしいネタを投下してくださった reininn 氏のアカウントに微妙な類似を感じるのは気のせいでしょうか。気のせいですよね。
Hiroki (REO) Kashiwazaki
Re: (スコア:0)
本名でググって出てきた写真や情報を見て、あまりに想像の範囲内の人物で笑った。
Re: (スコア:0)
http://srad.jp/comments.pl?sid=522122&cid=1901401 [srad.jp]
こいつも同じタイプの人間のようだね。
Re:個人でも、頑張れば大丈夫 (スコア:2, 興味深い)
reininnのIDでググったら本人(本人の会社)らしきWebサイトがわかってしまった。
djbdnsやFedoraを愛用していたり共通点が多いので本人のサイトの可能性がある。
ネットにおいて身バレしないためにいかにIDもパスワードと同じで他のサービスで同じ物を利用しないでおくかも重要ですね。
Re: (スコア:0)
>>ネットにおいて身バレしないためにいかにIDもパスワードと同じで他のサービスで同じ物を利用しないでおくかも重要ですね。
あい。
公の鯖管はプライベートで管理者って身分を明かしちゃダメです
鯖管のIDと個人のプライベートのIDがヒモ付けされると鯖の信頼が格段に落ちます。
例えば、いま旅行中ですよーと気軽にツイートしてる時が侵入に絶好のチャンスなわけで。
そういうリテラシーは職業病というか、鯖管なら自ずと身についてるものだと思いますが。
Re: (スコア:0)
鯖管が旅行に出ると無管理状態になるんですか。代わりの鯖管はいないんでしょうか。
「俺、○○の鯖管やってんだぜー」と公言してしまうような奴が痛いのはわかります。でも、それによって「鯖の信頼が格段に落ちます」ってのは、なんかポリシーに間違ったものが混じっているような気がするんですが。。。
Re:個人でも、頑張れば大丈夫 (スコア:1)
代わりは、そりゃいるかもしれません。でも、絶対数が減ったのは間違いない。
最大4人いるところで一人減ったら、4人分の仕事を作ってあげれば管理者はパンクします。
本当の侵入はその後に始めればよい。
侵入行為はスピード勝負なリアルタイムものなので、「相手の応答速度を下げる」のは立派な戦略なのですよ。
fjの教祖様
Re:個人でも、頑張れば大丈夫 (スコア:1, すばらしい洞察)
これからも侵入されてない保証はないですね。
Re: (スコア:0)
OSにFedoraを使うほど無知の人間だ。
reininnはすでに侵入されているが侵入されている事に気がついていないに一票。
Re:個人でも、頑張れば大丈夫 (スコア:1)
vine使ってますが、/ver/log/の増え方みると結構怖いですね。固定IPにドメイン取ってますからなおさらでしょうか。
一応家のLANとの間に火壁はさんだりしてますけど。
ルーターより後ろを物理的に切り離したりして、最悪でも鯖を踏み台に入り込まれないようにすべきなんでしょうが
まとまった時間が取れなくて。
#ルータでなんとか食い止めてるはずgesaku
Re: (スコア:0)
最近、DMZの外向けのルータが機能停止することが多くなった気がする。ログ見ると、直前にDoSフィルタが警告を出している。新しいファームがしばらく提供されていないし、そろそろ、ルータの買い替え時かな?
Re: (スコア:0)
げっ、そういえば家の無線ルータもよく落ちてると家族が言ってたな
# 当然AC
Re: (スコア:0)
まだファームウェアのアップデートが出続けていたので、最新版を当ててみた。
落ちなくなった。gkbr
Re: (スコア:0)
使用しているツールがばれるのが綻びの始まり。
Re: (スコア:0)
私も自宅サーバは運用しているしそれなりに気をつけてはいますが、
「問題ないと断言する」的な感覚が一番怖いような気がします。
例えば挙げられた中でも
> 2.メールは、qmail、 DNS は、djbdns を使用している。
は、かなり古くて DJB 自身もメンテナンスを放棄してるわけで
「これを使っているから安心」みたいな思考停止は危ないですよ。
Re: (スコア:0)
彼は、
とまでしか言っていないわけで、
というのは飛躍があります。
#子供の頃からそういう発想なので、国語では苦しめられました。普通に考えて、「問題があるもの」と比較して、それより「安全」と断言することは、「問題ない」と断言しているのと同義なんですよね。rennin氏自身が「問題ない」と考えているのも事実でしょうし。
Re: (スコア:0)
万年ベータ版のFedoraをサーバOSの選択肢にしているだけでもう駄目だ。
Re: (スコア:0)
それで毎日アップデートだから、どういうエンバグがあるかわからんね。
Re: (スコア:0)
Re: (スコア:0)
>(スコア:5, おもしろおかしい)
「おもしろおかしい」
つまりは役に立つ回答ではなくて笑えるネタを提供した君は偉い。
マジでこの方法で運用しているならアホの骨頂。
Re: (スコア:0)
「下手なデータセンター」は、これより酷いって皮肉でしょ
Re: (スコア:0)
でもその言葉より前の
>私は個人で企業を立ち上げてサーバーも立ち上げているが、
これがね。
本当に上記の方法で運用しているならアホの頂点でしょうね。
reininnの今後の反論というなの惨めないいわけに期待。まぁ恥ずかしくて逃亡の可能性大だけどね。
Re: (スコア:0)
実際、一般的なサーバが一般的なプロバイダ経由で接続され、とくに目だった活動をしていない場合
どのくらいの侵入が発生するだろうか?
たしかに、毎日いろんなポートに数十回程度のブルートフォース攻撃は検出している、そりゃ侵入される確率は存在するだろう。
でもそれが自分の運用しているサーバで起こる確率が交通事故でノートPCを破損する確率より高いか低いか、定量的な分析が難しい。
Re:個人でも、頑張れば大丈夫 (スコア:2)
興味があります。侵入する価値のあるサーバならまだしも、個人レベルの野良
サーバならお手軽に侵入できなければ他を探すのが効率的ですし。
fail2ban のログ過去 30 日間を調べると ban されたのは 96 件でそのうち
13 件(同一アドレス4つ)は Unban された後再び侵入を試みていました。
認証に6回失敗すると 8 時間 Ban されるのでブルートフォースで侵入される
確率は限りなくゼロだと思いますが sshd に remote exploit 可能なバグが
あるならまだしも、純粋に外から攻撃して侵入する方法はあるのでしょうか。
考えられるのはすでに乗っ取られたマシンを利用して間接的に ID とパスワード
を盗まれる事くらいしか思いつかない。
Re: (スコア:0)
脆弱なPCの生存時間はネット接続から約4分 [srad.jp]
接続しただけで4分で突破されるわけですからねぇ。「目だった活動をしてない」とかは防御には何の役にも立たないんじゃないでしょうか。
「定量的な分析が難しい」とか思っているようなレベルの人には「ダメ、絶対」で十分じゃないかと思います。
Re: (スコア:0)
自分が使わない時も繋がっていりゃ、危険度倍増だろう。
Re: (スコア:0)
>「定量的な分析が難しい」とか思っているようなレベルの人には「ダメ、絶対」で十分じゃないかと思います。
未パッチのWindowsPCを一般的なサーバと呼ばれるレベルの人の意見はあまり役に立ちませんね。
リスクが定量化でないのにサービスを提供するという発想のほうが可笑しいでしょ。
それこそ絶対的に侵入できないモデルを仮定していることになる。
Re: (スコア:0)
6.インターネットから隔離された開発環境である
とか、適当にオチ付けとけばよかったのに。
Re: (スコア:0)
> これで、5年間運用しているが、今のところ、侵入された形跡は無い。
| でも、hotmail は、判断基準の怪しいフリーのブラックリストを使って、時々、私のサーバーを拒絶してくれる [srad.jp]
…侵入されてopen proxyになってるとかopen relayになってるとかspam送信機になってたりしませんか?
Re: (スコア:0)
見えるのに、コメントがマジレスばっかりなのは何故なんだぜ?
と思ったら「Fedora15では「ethX」という表記がなくなる」にコメント [srad.jp]してるからなのかー?
# ここまで仕込んでおいて釣りだったらすげぇ
Re: (スコア:0)
Re: (スコア:0)
そんなの昔からじゃないかな、と言う意味なし突込みはともかく…
個人でAsterisk運用している人っているかな?留守電替わりかねぇ。
Re:個人 (スコア:1)
玄箱に入れて運用している人は何人か知っています。
W-SIMを繋いで、Willcomじゃない相手とのやりとりに経由させるとか。
Re: (スコア:0)
うちのAsteriskは、2010年6月頃にスキャンされていたログがありました。
Asteriskのユーザーとパスワードを辞書アタックしている感じでした。
いつものネタ (スコア:0)
>皆さんの所は大丈夫ですか ?
文系 [bogusne.ws]なので大丈夫です