パスワードを忘れた? アカウント作成
14797 story

放置サーバーにヤバい物が置かれて家宅捜索 109

ストーリー by yourCat
設置したら管理する 部門より

parallelized 曰く、

onigiri氏のblog『駄文待避所』の「ひどい目にあった」より。

自分がある2chのスレのために3年前くらいに自宅サーバに提供していたあぷろだに、海外で不正アクセス事犯で捕まった被疑者が何かの画像(恐らくイスラム教関係、らしい。見たらギョッとするようなものらしいのだが詳細は不明。警察では見せてはくれなかったので。)を貼り付けていたようなのです。海外の大学のシステムに不正侵入後行った行動の一環として。

という事があったそうです (同「俺ってなんて馬鹿馬鹿馬鹿馬鹿」もあわせてご覧ください)。

皆さんの管理されているサーバー上にもスクリプトが放置されていたり、そもそも管理自体を放棄しているような事例はありませんか? セキュリティホールを突かれて踏み台にされるようなケースもありますし、これを機に仕事・趣味、オープン・クローズド関らず、運用中のサーバーを一通り見直してみてはいかがでしょう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年03月04日 13時01分 (#1120443)

    以前ロシアに出張したとき、ホテルから自宅サーバーで運営していた掲示板をのぞいたりしたのですが、その後、ロシアやグルジア、ウクライナなど、旧ソ連、東欧からのスパム書き込みやサーバーへの攻撃が増えました。

    しばらく戦っていたのですが、これは個人では対応しきれないと思い、自宅サーバーは停止。個人でサーバーなんて持つもんじゃないと思います。

    私の行動が当局に監視されているとはわかっていたのですが、まさか自宅サーバーがああいうめにあうとは思わず。まー、インターネットって世界につながっているんだな、と実感しました。

    • by Anonymous Coward on 2007年03月04日 13時21分 (#1120457)
      先日、所要で、IRCで国際的な某有名オープンソースコミュニティのチャンネルにアクセスしたら、数時間とたたずNISが被弾レポートを上げて来るようになりました。鯖でなく、ただのPCです。あまりの多さにリアルタイム警告を切りましたが、それから数日は続いたようです。

      たまたまnickに日本とわかる単語入れてたから、嫌日に狙われたのか、前に日本人(のPC)相手においしい思いをしたやつに狙われたのか(おおかたこっちなんでしょう)、と思ってますが、まぁ、鯖でなくとも、ただのクライアントPCでも、「ネットにつながってる」を意識するのは忘れない方がいい、と思った一件でした。

      IRCって、IPアドレスむき出しだし、危ないプロトコルというかシステムというか。まぁ、一部ではプロキシかますのが常識なんでしょうけど。

      えばるこっちゃないのでAC

      親コメント
    • by Anonymous Coward on 2007年03月04日 13時15分 (#1120452)
      同じ様な経験をしている人がいてビックリ。

      てっきり私がロシアにいった際の日記とか写真をUploadしてたから、
      それが検索にヒットしてだと思ってたんですが、
      よく考えたら、英文もありとはいえ
      ロシア語じゃないサイトにロシア語圏からそんなにアクセスあるわけないですものね。

      恐ろしい・・・・・・・・
      親コメント
    • by Anonymous Coward on 2007年03月04日 18時29分 (#1120512)
      ロシアじゃなくてイタリアだけど、ホテルから自宅サーバにアクセスしていたらしばらく
      .itドメインからのspamやらアタックが増えたことがあったな。
      旅行後から2年間ぐらいうざったくてしょうがなかったです。
      #今はもう見かけない。

      ホテルの電話からモデム経由で国際ローミングだったので考えづらいと思うのだけど。
      旅行前には全く見ることのなかったドメインだったので妙だなぁと思ったものでした。
      親コメント
    • by Anonymous Coward on 2007年03月04日 19時29分 (#1120525)
      他人のマシンはbot化していると考えたほうがよいです。自宅マシンにアクセスするとIPアドレスを知らせてしまいます。パスワード入力なんてした日にゃ…。

      自分のマシンはbotになっていようと使いますから、考慮しません。

      -- A.C., nothing more, nothing less.
      親コメント
  • 自宅サーバって (スコア:5, 参考になる)

    by astro (17245) on 2007年03月04日 13時10分 (#1120448) 日記
    レンタルサーバの選択肢の充実度と低コスト化を考えるに、
    自宅サーバをやる意味ってほとんどなくなりましたね。

    個人的な間食としては
    ・レンタルサーバではやり取りできないアレな何か
    ・好き勝手なサービスを好き勝手につかいたい
    ・そもそもサーバー運営が趣味
    でなければ、自宅サーバの意味がなくなってきてると思います。
    その分、管理はちゃんとしなくちゃいけないと思いますが、
    管理放棄されたような状態のサーバもたまに見かけますねぇ。

    かくいう自分は、自分用のproxyでいろいろゴニョゴニョするために、
    NAS箱改造の自宅サーバを置いてるわけですが。
    •  電気代だけでも、近頃は安いレンタルサーバの料金を上回りかねませんからねぇ。

       例えばさくらインターネットのレンタルサーバ [sakura.ne.jp]のスタンダードコースは、月々500円。
       電気代を20円/1kWhとすると、サーバの消費電力が平均35Wでも、24時間*30日では電気代が500円。

      >NAS箱改造の自宅サーバ

      とかなら、消費電力は普通のパソコンに比べて格段に低いので、ちょっとしたproxyとかを動かすにはもってこいですね。
      親コメント
      • Re:自宅サーバって (スコア:3, すばらしい洞察)

        by IRCBOT (32650) on 2007年03月05日 6時02分 (#1120657)
        自分専用のサーバと、数百人が共有で使用するサーバのコスト比較してどうするんですか?

        1日6000PVぐらいのブログをそこで運営してみたのですが、「503 Service Unavailable」連発でまともに動きませんでした。
        比べるなら、<a href="http://www.sakura.ne.jp/ss/">さくらの専用サーバ</a>と比べるべきです。

        ・月額利用料6,800円
        ・初期費用29,800円
        親コメント
  • 私の自宅サーバで起きた事例なのですが、
    ファイルの受け渡し用に簡単なパスワードを使った半anonymousなftpアカウントに侵入されたことがあります。
    (今ならうぷろだとか使うケースですかね)

    ・前提条件: ユーザー名foo(仮)のパスワードはユーザー名と同じ。ssh や telnet は不可でftpのみ可能。chrootしてるので、他のディレクトリは見えない。(実際には、アカウント名は英単語一つ)
    侵入方法
    1. cracker にブルートフォースでアカウントfooの存在およびパスワードがばれる
    2. ftpでホームにphpファイルがアップロードされる
    3. httpでhttp://example.com/~foo/bar.php にアクセスが来る→失敗
    4. ftpでディレクトリ public_html が作られ、その下に php ファイルがアップロードされる
    5. httpでhttp://example.com/~foo/bar.php にアクセス、スクリプトの内容が表示される
      (Apacheで「UserDir public_html」は生きていたが、phpは入れてなかった)
    ここで cracker は活動を断念、去っていきました。
    php の中身は、引数で指定した任意のコマンドを実行可能というもの。

    もしもphpを入れていたり、perlのcgiを送り込まれていたら(そのユーザーでもcgiは有効になってました)、とか背筋が寒くなりましたね。
    あわてて、apache の設定で UserDir の記述を消し、
    必要なユーザーそれそれについて「Alias /~foo/ /home/foo/public_html」などの記述を入れるようにしました。

    それ以来、特定少数向けのファイル交換用にも、乱数で生成した推測しにくいパスワードをちゃんと付けてるようにしてます。
    • by Anonymous Coward on 2007年03月04日 20時15分 (#1120536)
      なんつーか FTPの領域=Httpでの公開エリアになっている時点がやばい
      親コメント
    • by Anonymous Coward on 2007年03月04日 13時35分 (#1120460)
      単純な疑問ですが。
      もしもphpを入れていたり、perlのcgiを送り込まれていたら
      phpがヤバイのは分かりますが、CGIはディレクトリ単位でOption ExecCGIが指定されてないと
      有効にならないと思いますけど、そんな設定をされていたということですか?
      あと、ftpdはモノによってsite chmodを禁止できるものもありますよね。

      まぁ、設定は極力穴を塞いでセキュリティを高めておこうというのには同意です。
      親コメント
      • 個々のユーザーが独自にCGIを使いたい、という要求に対応するために、
        <Directory /home/*/public_html/cgi-bin>
        Options ExecCGI
        </Directory>
        みたいなことをしてました。

        ユーザー個別の設定をしてると、ユーザーを増やした時に修正箇所が多くなって面倒なので
        上記のようなワイルドカード指定をしていたのですが、
        これだと、crackされた、httpアクセスを想定していないアカウントfooに対しても、
        ~foo/public_html/cgi-bin 以下にCGIをアップロードされれば、CGIの実行が可能になってしまいます。

        それ以来、面倒でも「ユーザー個別に設定する」ことを心がけるようにしてます。

        15年ぐらい?昔だと、公開サーバに anonymous ftp でアクセスできて、その中に
        アップロード可能な「incoming」ディレクトリがあるのが当たり前でしたが、
        その頃の慣習を引きずって
        ・anonymous だとWarez置き場にされてしまう→アカウント名をanonymous以外に。パスワードは空のまま
        ・パスワードが空だとブルートフォースアタックで一発でバれる→簡単な文字列のパスワードを付ける
        ・さらなるブルートフォースでばれる→ちゃんとパスワードを付ける
        なんて流れで設定してきたので、あまりに場当たり的な対応をしてきたことに、ちょっと後悔しましたね。
        親コメント
        • incoming (スコア:4, 参考になる)

          by shojin (28072) on 2007年03月04日 19時05分 (#1120524) 日記
          ftpのincomingディレクトリは、メールなどだと大き過ぎるファイルを置いてもらうというのが主眼だったと思うので、incomingに一度置いたら二度と読みだしできませんという設定にするのが自分がインターネットを使いはじめた1998〜1999年では常識になって来ていましたね。ORBSのように緩い設定をしていると困るような仕組みも無かったので緩いまま現在に残っているのかも知れませんが...

          かく言う自分も2000年ごろ動かしていた自宅サーバーのincomingに怪しげなASPスクリプトを置かれたことがあります。内容は何だったか覚えていませんが、当時の常識として、ftpで見られる領域とWWWで見られる領域は分けるというのがあったので、攻撃者も自分が置いたものがないと首をひねったことでしょう。
          その後、そもそもファイルを送ってもらう必然性というのがほとんど無かったのとDMZを作るときに面倒臭いことになったので、自宅サーバーマシンを入れ換えたときにFTPサービスはやめてしまいましたが。
          親コメント
    • できれば生ftpもやめたほうが...。
      # あと、攻撃と思しきアクセスを検出して攻撃元アドレスをしばらく無視るとか拒否るとか。
      親コメント
      • しかもupされたものを何もフィルタせずに(ftp getでもWebででも)公開してしまうのは、今でも昔でも最低ですね。
        (生でもゴムでも)ftp putサービスが必要な状況は、昨今極めて稀と思っています。今時のファイル送信は、(俺オレ証明ででも使って)httpsでそれなりの認証を備えたinput type="file"なフォームのup専用URLを、ユーザ限定で(できればユーザ毎にURLも個別にして。そのURLにハイパーリンクが張ってある等は問題外。)使わせ、上がってきたファイルはwebサーバから見える範囲外に隔離して管理者の査閲に付す、くらいの防御をして然るべきと思います。
        親コメント
        • 書かれてることは概ね同意しますが、一点だけ。私の目的の場合、
          ・ファイルの受け取りのために使用する。(受け取ったファイルをそのまま公開するつもりはない)
          ・アップロード者は特定少数
          ・ファイルサイズは数十MBから数GB
          という状況なので、おそらく「極めて希」な例と言えると思います。

          > input type="file"なフォームのup専用URL

          これは、素人にもアップロードさせやすいというのは大きなメリットなのですが、
          大きめのファイルをアップロードさせる場合、
          ・アップロードが進んでいるのかいないのかさっぱりわからない。いつ頃終わるかも読めない。
          ・途中で失敗しても再開できない
          といった感じで実用性がありません。

          あと、アップロード者は素人が多いので、sftp とかも不可。
          「ftp って、FFFTPのことだんたんですかー?」なんて返事が来るレベルなので…
          で、素のftpに落ち着きました。

          > 上がってきたファイルはwebサーバから見える範囲外に隔離して

          put途中で失敗して、appendで再開する、なんてこともあるので、自動で隔離などはせず、
          完了の報告を受けてから、手動で移動させるようにしてます。

          本当は、さらに、対象の個人ごとにアカウントを発行して使い捨てた方がいいのでしょうけど、
          面倒なので、少人数のグループ単位でアカウントを作ってます。
          http の .htaccess によるアクセス制限みたいに、通常のアカウントとは別な ftpd 専用の認証システムがあればいいんですけどねぇ…
          親コメント
  • by Anonymous Coward on 2007年03月04日 13時42分 (#1120463)
    1999年頃に自宅鯖を立ち上げて仲間内用の掲示板やFTPサービス、あぷろだ(のようなもの)を動かしていたことはありますが、すぐにいろんなアタックがくるようになりました。(いまからすれば幼稚な手段ばかりでしたが)
    できるだけセキュリティ対策はしていたので今回あげられているような具体的な被害が出たことはなく、しばらくはログを見て「いろんなところからいろんなことをやってくるんだなぁ~」くらいに思っていました。が、1年くらい動かしているうちに、自分の気が付かないところを突かれたら面倒なことになるかもしれんということを考えるようになって、他の無料のもの(ジオシティーやら、なんだったかやら)や安価なレンタルサーバ(というよりWebスペース)サービスに移行しました。
    そのころには「もはや趣味の範囲で構築したサーバを一般に公開するのは無理」と思うようになりました。
    (たっぷり時間をかけて、セキュリティ対策ができるのなら可能でしょうが、まったく無関係な本業がある中では・・・ね)

    #昔ののどかな The Internet が懐かしい・・
  • by Anonymous Coward on 2007年03月04日 15時36分 (#1120480)
    • by Anonymous Coward on 2007年03月05日 0時48分 (#1120618)
      アルカイダの日本人殺害動画を上げられてしまった某アプロダでも
      事件後も海外から変な画像ファイルが時々投稿されていたので
      片っ端から豚の丸焼き画像に置き換えることをしていました。

      サブドメインのamariが、イスラム圏で人気のあるタイのリゾートホテルの名前だったことが
      狙われた原因との説も。
      親コメント
    • 因果応報 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2007年03月04日 17時59分 (#1120508)
      テロリストどもが不正に上げたコンテンツを改竄する事で、
      連中自ら上げたコンテンツにより
      逆に連中の崇拝する神や預言者が愚弄される屈辱を与えて回れるだなんて、
      なんて画期的なんだ(w
      親コメント
  • by IRCBOT (32650) on 2007年03月05日 6時20分 (#1120658)
    自宅サーバなんか使わずに、レンタルサーバや専用サーバを使えば良いという主張が良く行われますが、自宅サーバで無ければできないこともあります。
    具体的な会社名は出しませんが、日本の大手レンタルサーバ運営会社の 殆どが 無責任に、コンテンツ削除やアカウント停止を行います。
    表現の自由もへったくれも無いような状況です。

    特定の企業の批判や告発を目的とした Webサイト (法令に違反するものでは無く、弁護士に相談しても「確実に正当な言論の範囲」と言われるような内容。) を作ったとしましょう。

    そして、その批判された企業が、弁護氏名で (←ここ重要) レンタルサーバの運営会社に「御社の利用規約で禁止されている、第三者の名誉・権利・人権を侵害する、または侵害する恐れのある行為に違反している。」などの文章を送付したとします。

    そうすると、大抵のレンタルサーバ会社は、トラブルに巻き込まれた時の人件費が無駄だという理由で、(表向きには規約違反が理由です。) 無条件にアカウント停止等の処分を行います。

    異議を申し立てても、『「第三者の名誉・権利・人権を侵害する、または侵害する恐れのある行為」に該当すると当社が判断しました。規約にもあるように判断は当社の独断によって行われるものであり、異議の申し立ては受け入れられません。なお、貴殿のWebサイトの内容が日本の法律に違反するものであると判断した訳ではありません。ご利用ありがとうございました。』等のテンプレが来るだけです。

    企業の批判や告発では無く、政治系サイトでも同様です。
    その政治的思想に気に食わない人がいたとして、2ちゃんねるに「このサイトを潰そう」というスレッドがたつんです。
    掲示板を狙い撃ちにして、犯罪を連想させるような記事、JASRAC管理曲の歌詞などの著作権を侵害するような記事を投稿しまくります。
    そして、レンタルサーバの運営会社に、規約違反を理由 (投稿された違法記事) を理由とした、削除依頼を申し入れるんです。

    管理者が適切に管理を行っており、2日に一回は違法・違法の恐れのある記事の削除を行っていたとしても、面倒なことに巻き込まれたくないレンタルサーバ管理者は、確認時点で違法記事があれば、コンテンツの削除やアカウント停止を行います。

    そういうサイトを自宅サーバに移行すると、かなり快適に運営できます。
    日本の ISP はレンタルサーバ界と違って、簡単にアカウントを剥奪したりはしません。

    掲示板などに対する違法記事が投稿された場合には、プロバイダ責任制限法に従って削除依頼等が届いてから10日以内に対応を行えば、管理者が責任を問われることは殆どありません。
    • by Anonymous Coward on 2007年03月05日 11時33分 (#1120753)
      悪評しか聞かない某著作権管理団体ですが、その団体がとある企業を
      訴えていたとき、その企業と取引のあったうちの会社にまで電話をかけてきて
      「○○さんと取引をやめないのでしたら、おたくに対しても訴訟の範囲に
      含めさせてもらうことになるかもしれませんなあ」
      と恫喝されたことがあります。

      もちろんその脅迫めいた要求は受け入れませんでしたが、一応先方に
      「こういう恫喝がありました」
      とだけは連絡しておいたところ、取引先に迷惑をかけてはいけないと
      考えたのか、取引内容を大幅に変更(縮小ともいう)してきました。

      別のケースでは、右翼から
      「街宣車が会社の前に押しかけて御迷惑をおかけするかもしれませんが、
      よろしくお願いすね」
      とバカ丁寧に脅迫されたこともあります。

      脅迫には屈せず客を守ってはいましたが「あそこは守ってくれる」
      みたいな話が広がると、攻撃を喰らう客が多く集まってきて苦労します。
      ほとんどのところは、そんな面倒はゴメンなので、クレームが来たら
      サクサク消せるように約款で逃げ道を作っているところがほとんどですね。
      親コメント
  • by Anonymous Coward on 2007年03月04日 16時14分 (#1120486)
    サーバの設定が不完全で、公開proxyとして利用できる状態に
    なってた事がありました。
    その時は、気付いた人が掲示板に書き込んでくれて対応できたんですが、
    どれだけ便利に使われていたのか・・・・

    下手にポート開いていると、ブラックリストを使った色んなフィルタに
    登録されちゃう事があるんで、NATで後ろに控えているクライアントPCも
    被害受けちゃう事あるんですよね・・・

    # AC
    • by Anonymous Coward on 2007年03月04日 21時30分 (#1120551)
      私もやってしまいました。
      大学のPCで ;-(
      iptablesで外部からはポートを封じていたのでproxyは適当な設定で立ち上げていたのですが、
      うっかりfirewallを立ち上げ忘れている時がありました。
      何か重いな、と気づいた時には鬼のようなproxyログが…。しかもとってもアダルティーw
      慌てて遮断しましたが、しばらくは大学当局からの呼び出しを食らわないかビクビクしてたものです
      設定ファイルにもfail safeが重要ですね。
      親コメント
  • by Anonymous Coward on 2007年03月04日 16時41分 (#1120495)
    JP以外への割り当てはフィルタで全拒否してもよい時代なのかなぁ。さみしいけども。
    参考: APNICの割り当てリスト [apnic.net]

    外務省の渡航情報 [mofa.go.jp]と同じように、接続拒否したほうがよいアドレスリストみたいなのをJANOGあたりで作ってくれないかな?
    • 補足ですが、日本に割り当てられている IPアドレスであっても、APNIC のデータベースに載っていないことがあります。
      例えば、東大に割り当てられている IPアドレス の大部分は、APNIC のデータベースには載ってませんよ。
      ARIN のデータベースも使いましょう。

      なお、APNIC と ARIN 以外の機関によって、日本に割り当てられているIPアドレスがあったら教えて下さい。
      (たぶん、日本国内に割り当てられているIPアドレスは これ2つで全部じゃないかと。
        日本国内で使われているIPアドレスは他にもありますが。)

      参考:
      ARIN のサイト [arin.net]
      ARIN の割り当てリスト [arin.net]

      あと、個人的にお勧めしたいのが GeoIP ですね。
      日本に割り当てられているIPアドレスじゃないけど、日本国内のみで使われているIPアドレスというのがあります。
      GeoIP ならそういうのにも対応できちゃいます。

      Apache の .htaccess に APNIC と ARIN の日本国内IPアドレス一覧を列挙したら、パフォーマンスが悪くなったので (負荷が倍以上)、GeoIP を使ったら、アクセス制限前とほぼ同じの負荷になりました。

      基本ライブラリ [maxmind.com]
      Apache API [maxmind.com]
      国情報ファイル [maxmind.com] (無料版は月1更新)
      国コード [maxmind.com]

      親コメント
    • by astro (17245) on 2007年03月04日 19時37分 (#1120527) 日記
      JP割り当てのIPアドレスだからといって信用できるとは限らない罠。
      多重踏み台とかもありうるわけですし。
      親コメント
    • by Anonymous Coward on 2007年03月04日 23時28分 (#1120587)
      つhttp://www.42ch.net/~shutoff/
      親コメント
    • by Anonymous Coward on 2007年03月05日 0時03分 (#1120600)
      .netなプロバイダもあるので一応調べたほうがいいですよ(deny all allow.jpは)
      うちはCGI置いてるとこだけやってます。掲示板など読めるけど書けないように。
      串迂回はしようとしてるみたいだけど、CGI側のフィルタなど複数の方法併用してほぼ防止中。
      親コメント
  • by Anonymous Coward on 2007年03月04日 17時33分 (#1120505)
    返してもらえるんですかね?!
  • サーバーだけでなく (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2007年03月04日 13時57分 (#1120466)
    自宅サーバーだけでなく

    使わなくなって久しいメールアドレスとか、各種アカウントとかも

    気をつけたほうがよさそうですね。

    まあ、捨てアド取るのに本名や住所を書く事はないですけど、

  • by gesaku (7381) on 2007年03月04日 22時25分 (#1120567)
    パスポート持ってないし日本語オンリーなんで、特定のネットワークアドレスを切りまくって対処してます。
    個人サーバならこんな技である程度は回避可能でしょうけど、企業とかIPアドレスでアクセス制限を
    かけられないサイトは難しいですね。

    #最近は国内からもSSHの総当り攻撃されるgesaku
  • by Anonymous Coward on 2007年03月05日 5時47分 (#1120655)
    このような話も。

    ttp://gach.exblog.jp/5171454/
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...