はてなのサーバーに不正侵入 62
ストーリー by mhatta
5日も気づかれないものなんだねえ 部門より
5日も気づかれないものなんだねえ 部門より
unipst 曰く、
INTERNET Watchの記事によると、株式会社はてなのサービスを提供する2台のサーバに9日から不正な侵入が行なわれ、サーバ上にFTPスキャナやIRCボットを設置されるなどの被害が発生したとのこと。はてな側は14日未明までに侵入の事実を把握、ただちに不正なアクセスを遮断した。データベースサーバなどへのアクセスの形跡などは確認されておらず、ユーザー情報の流出やサービスのデータ改竄が行われた可能性は低いとしている。
はてなによると、今回の攻撃ははてなサーバ群の入り口にあたるサーバのうち2台に対しブルートフォースアタックをかけるというもの。侵入されたサーバはパスワードによる認証が可能となっており、他のサーバよりも侵入を受けやすい状態となっていた。これは、はてなが社内で定めていたセキュリティポリシーに違反した状態であり、改めてセキュリティ対策の見直しと業務の改善を行うとしている。
internet watchじゃなくて (スコア:4, 参考になる)
Re:internet watchじゃなくて (スコア:2, すばらしい洞察)
すくなくとも、現時点では、ありません。
Re:internet watchじゃなくて (スコア:0)
Re:internet watchじゃなくて (スコア:0)
Re:internet watchじゃなくて (スコア:4, 参考になる)
まあ、パスワード認証が空いた状態になるありがちな設定ミスはusePAM yesですね。
PasswordAuthenticationやChallengeResponseAuthenticationは設定ファイルをみると一目瞭然なのですぐにnoにしますが、usePAMというのは一見そういうのには見えませんから。しかし、多くのsshd用のPAMの設定にはパスワードで認証するものが普通に入っているので、これを殺しておかないとパスワード認証が許されてしまうのです。
ちなみに、あるホストがパスワード認証を許さない設定かは秘密鍵の名前を変えて使えないようにした上でそのホストにsshすると、『Permission denied (publickey).』と表示されるのでわかります。これを応用すると公開鍵認証設定自動調査プログラムを作れますね。
Re:internet watchじゃなくて (スコア:1)
とかすると、わざわざ秘密鍵の名前を変えなくてもいいし、サーバーへの負担もへるのでは? それとプログラムを作るのであれば Python で twisted [twistedmatrix.com] あたりを使ってもいろいろできそうですね。ドキュメント足りなすぎだけど。
Re:internet watchじゃなくて (スコア:1)
ではないのですか?
目的は『公開鍵認証ができるかを調べる』ことではなくて、『パスワードを使った認証ができない』ことを調べるので下記のオプションの使い方は少し違うかと思います。
実際、FreeBSD 6.2RのOpenSSHを使って調べたところ、下記の方法では-iが失敗した時点でいつも使っている秘密鍵を使ってログインしてしまいます。
> ssh -i non-existent-filename -o PreferredAuthentications=publickey ...
Re:internet watchじゃなくて (スコア:1)
そうですね(汗。寝ぼけてました。
どうやったら「ありがち」になるんだろうか (スコア:0)
バージョンが同じでもバックポートされてる事もあるし挙動は同一なわけでもない。最後の段落についても同様。
Re:どうやったら「ありがち」になるんだろうか (スコア:3, 興味深い)
一方、生活OSであるFreeBSDのsshd_configにはPAM認証がChallengeResponseAuthenticationやPasswordAuthenticationをバイパスする旨が明記されています。
まあ、ディストリビューションによってはそんな注意を促してくれないので自分で注意しましょうということで。
Re:どうやったら「ありがち」になるんだろうか (スコア:1, 興味深い)
# Set this to 'yes' to enable PAM authentication, account processing,
で始まるものでしょうか?
Debianのパッケージをみたのですが、オリジナルのソースに付属のsshd_configを利用せず、postinstファイルでシンプルなものを生成・加工しているようです。それはそれで理由があるとは思いますが、オリジナルのsshd_configのコメントを捨てるのはもったいなさすぎ。
Re:どうやったら「ありがち」になるんだろうか (スコア:2)
> # Set this to 'yes' to enable PAM authentication, account processing,
> で始まるものでしょうか?
その通りです。
Debianは簡略化することで見やすくしようという意図でやっているのでしょうけれど、コマンド3つ打てば同じことが実現できるのを重要なコメントを失うことまでして最初からやる必要なんてあるんでしょうか。ちなみに、#をコメントにしている設定ファイルに共通ですから、ファイル名を変数にしたシェルスクリプトを作るとコマンド1つになります。
> cat /etc/ssh/sshd_config | grep -v '^#' | grep -v '^$'
Re:どうやったら「ありがち」になるんだろうか (スコア:1)
$ egrep -v '^(#|$)' /etc/ssh/sshd_config
一発でいけます。
パスワード & パスフレーズ (スコア:1, おもしろおかしい)
認証自体に直接関係あるのは鍵だけで、パスフレーズは関係ありません。鍵が盗まれたときの対策、ですかね。
パスフレーズ入力中に「闇の力を秘めし鍵よ(中略)レリーズ」と言うの禁止。
あるある(ないない (スコア:2, おもしろおかしい)
サーバーラックの下に誰かが侵入したままだったのかと
思った……という人はいないか。
Re:あるある(ないない (スコア:2, おもしろおかしい)
確かに不正だし侵入だけど、"サーバ"には侵入してないような。
#この人、シリコンバレーに移住したんじゃなかったっけ?
よかった (スコア:2, 参考になる)
Re:よかった (スコア:1, おもしろおかしい)
Re:よかった (スコア:5, おもしろおかしい)
流出対象者の方々におきましては、速やかに御氏名と御住所の変更手続きをお願い致します。
ハッカーの行動 (スコア:1, すばらしい洞察)
はてなの情報のクオリティーだと仮にサイトが改竄されていても分からないかもしれない。
といってみるテスト。
ぶるーとふぉーすくらい気づけよ (スコア:1, 興味深い)
なんとなく (スコア:0, 参考になる)
と書いてあると、一人称が省略されているようでここに犯人がいるみたいに見えるね。
誰かがはてなのサーバーに不正侵入
はてなのサーバーが不正侵入を受ける
はてなのサーバーが不正アクセスを受ける
とかならいいけども。
Re:なんとなく(-999:) (スコア:0)
Re:なんとなく(-999:) (スコア:0)
先のコメントは「一人称」を使っていないようだが、よく「正確に使えず」なんて言えるね。
Re:なんとなく(-999:) (スコア:0)
Re:なんとなく(-999:) (スコア:0)
ある意味、自己言及文ですね。
Re:なんとなく(-999:) (スコア:0)
だから、犯人がここ(すらど)にいる、つまりタレコミ人が犯人みたい。ってことでしょ?
Re:なんとなく(-999:) (スコア:0)
Re:なんとなく (スコア:0)
Re:なんとなく (スコア:0)
ピンポイントではなさそう (スコア:0)
あまあまだったんでしょうね。。
幸か不幸か個人情報云々に関してはその恩恵を受けているのかな。
Re:ピンポイントではなさそう (スコア:0)
急に必要になったので、
1.その辺に転がってたマシンをセットアップ
2.ちょっとの間だけだから、使えればいいやで適当に設定
3.用が済んでもそのまま放置
4.そんなサーバーの存在を関係者が忘れてしまった頃にアタック
5.あまあまな設定であっさり入られる
6.存在を忘れられているので発見するのに手間取った
とか言う流れじゃないでしょうか。
Re:ピンポイントではなさそう (スコア:2, おもしろおかしい)
# マイナスモデの殺気を感じるな。
Re:馬から落馬、不正な侵入 (スコア:3, おもしろおかしい)
おいおい、灯台下暗しちゃうんか? (スコア:0, フレームのもと)
Re:おいおい、灯台下暗しちゃうんか? (スコア:0)
分かりやすすぎw
Re:おいおい、灯台下暗しちゃうんか? (スコア:0)
# 1126267の意見は「韓国と北朝鮮の日本侵略」が「不正でない侵入」だと言ってる
# どこの国の人の意見だwwww
Re:おいおい、灯台下暗しちゃうんか? (スコア:0)
# あからさまな荒らしコメントを大量に投稿することで
# モデレーションを機能不全にするソーシャル攻撃
# ってのも可能だよな。
Re:おいおい、灯台下暗しちゃうんか? (スコア:0)
ちなみに現状モデレータなんて候補にチェックつけとけばM2やらなくても発言しなくても
勝手にやってくるっていう状態になってるからモデレーションによる直接攻撃も可能だったりするよ。
Re:馬から落馬、不正な侵入 (スコア:2, 参考になる)
Re:馬から落馬、不正な侵入 (スコア:0)
Re:馬から落馬、不正な侵入 (スコア:0)
Re:馬から落馬、不正な侵入 (スコア:1)
選手A、痛烈な一発を食らってダウン。
審判「ダウン! 1...2...3...」
選手A「いや、これはあくまでも試合で、ダウンすることは
納得ずくだから、ダウンとは呼べない!」
審判「...9...10」
カンカンカンカン
というのを思い浮かべた。
というのは冗談ですが、テストだろうとそうでなかろうと、侵入は侵入ですよ。
だいたい、ペネトレーションテストの「ペネトレーション(penetration)」は
セキュリティ用語では日本語訳すると文字通り「侵入」ですが
侵入テストはテストだから侵入ではない?
ではいったい何をテストしたのでしょうね!?
Re:馬から落馬、不正な侵入 (スコア:1)
Re:馬から落馬、不正な侵入 (スコア:1)
Re:馬から落馬、不正な侵入 (スコア:0)
あるボクシングの練習試合にて。
選手A、痛烈な一発を食らってダウン。
スポーツ新聞の見出し「A選手、KO負け!」
というのを思い浮かべた。
合意の上での (スコア:0)
後日 (スコア:2, おもしろおかしい)
2) そんなこといってない
3) セキュリテイーホールをブルートフォースアタックで
クラックされただけだ勘違いするな
Re:後日 (スコア:1, おもしろおかしい)
Re:馬から落馬、不正な侵入 (スコア:0)
office氏について投稿しようと思っているキミ!
一日や二日待ってからでも遅くはないぞ!