パスワードを忘れた? アカウント作成
14892 story

はてなのサーバーに不正侵入 62

ストーリー by mhatta
5日も気づかれないものなんだねえ 部門より

unipst 曰く、

INTERNET Watchの記事によると、株式会社はてなのサービスを提供する2台のサーバに9日から不正な侵入が行なわれ、サーバ上にFTPスキャナやIRCボットを設置されるなどの被害が発生したとのこと。はてな側は14日未明までに侵入の事実を把握、ただちに不正なアクセスを遮断した。データベースサーバなどへのアクセスの形跡などは確認されておらず、ユーザー情報の流出やサービスのデータ改竄が行われた可能性は低いとしている。

はてなによると、今回の攻撃ははてなサーバ群の入り口にあたるサーバのうち2台に対しブルートフォースアタックをかけるというもの。侵入されたサーバはパスワードによる認証が可能となっており、他のサーバよりも侵入を受けやすい状態となっていた。これは、はてなが社内で定めていたセキュリティポリシーに違反した状態であり、改めてセキュリティ対策の見直しと業務の改善を行うとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年03月15日 8時01分 (#1126269)
    一次ソース [hatena.ne.jp]
    • by Anonymous Coward on 2007年03月15日 9時02分 (#1126294)
      トップページ [hatena.ne.jp]に告知があるべきですよね。

      すくなくとも、現時点では、ありません。
      親コメント
    • 基本的に、sshで鍵認証のみ許可とか、ものによってはネットワークごしのログイン不可、なんでしょうね。
      • by shojin (28072) on 2007年03月15日 13時22分 (#1126467) 日記
        『社内で定めておりますセキュリティポリシーが一部正しく遵守されていない状態』と言っているので、sshでパスワード認証によりログインできるというのはポリシーを守っていない状態なんでしょうね。それから推察するとsshでは公開鍵認証を使うべしというのがポリシーだったのでしょうね。

        まあ、パスワード認証が空いた状態になるありがちな設定ミスはusePAM yesですね。
        PasswordAuthenticationやChallengeResponseAuthenticationは設定ファイルをみると一目瞭然なのですぐにnoにしますが、usePAMというのは一見そういうのには見えませんから。しかし、多くのsshd用のPAMの設定にはパスワードで認証するものが普通に入っているので、これを殺しておかないとパスワード認証が許されてしまうのです。
        ちなみに、あるホストがパスワード認証を許さない設定かは秘密鍵の名前を変えて使えないようにした上でそのホストにsshすると、『Permission denied (publickey).』と表示されるのでわかります。これを応用すると公開鍵認証設定自動調査プログラムを作れますね。
        親コメント
        • 秘密鍵の名前を変えて使えないようにした上で
          ssh -i non-existent-filename -o PreferredAuthentications=publickey ...

          とかすると、わざわざ秘密鍵の名前を変えなくてもいいし、サーバーへの負担もへるのでは? それとプログラムを作るのであれば Python で twisted [twistedmatrix.com] あたりを使ってもいろいろできそうですね。ドキュメント足りなすぎだけど。

          親コメント
          • ssh -o PreferredAuthentications=keyboard-interactive,password ホスト名
            ではないのですか?

            目的は『公開鍵認証ができるかを調べる』ことではなくて、『パスワードを使った認証ができない』ことを調べるので下記のオプションの使い方は少し違うかと思います。
            実際、FreeBSD 6.2RのOpenSSHを使って調べたところ、下記の方法では-iが失敗した時点でいつも使っている秘密鍵を使ってログインしてしまいます。
            > ssh -i non-existent-filename -o PreferredAuthentications=publickey ...
            親コメント
        • わざわざ注意書きまでしてあるusePAMが無関係なんてどこに目が憑いてるんだろうかと思うのは別としても、
          バージョンが同じでもバックポートされてる事もあるし挙動は同一なわけでもない。最後の段落についても同様。
          • 某所で管理させられているDebianサーバーのsshd_configには何の注意書きもコメントもないですね。
            一方、生活OSであるFreeBSDのsshd_configにはPAM認証がChallengeResponseAuthenticationやPasswordAuthenticationをバイパスする旨が明記されています。
            まあ、ディストリビューションによってはそんな注意を促してくれないので自分で注意しましょうということで。
            親コメント
            • by Anonymous Coward on 2007年03月15日 21時14分 (#1126704)
              UsePAMのコメントって、
              # Set this to 'yes' to enable PAM authentication, account processing,
              で始まるものでしょうか?

              Debianのパッケージをみたのですが、オリジナルのソースに付属のsshd_configを利用せず、postinstファイルでシンプルなものを生成・加工しているようです。それはそれで理由があるとは思いますが、オリジナルのsshd_configのコメントを捨てるのはもったいなさすぎ。
              親コメント
      • by Anonymous Coward on 2007年03月15日 13時57分 (#1126488)
        ちなみにsshの「パスフレーズ」というものは一般に言うパスワードとは異なり、手元の鍵の封印を解くための呪文です。

        認証自体に直接関係あるのは鍵だけで、パスフレーズは関係ありません。鍵が盗まれたときの対策、ですかね。

        パスフレーズ入力中に「闇の力を秘めし鍵よ(中略)レリーズ」と言うの禁止。
        親コメント
  • あるある(ないない (スコア:2, おもしろおかしい)

    by 127.0.0.1 (33105) on 2007年03月15日 9時53分 (#1126330) 日記
    タイトルだけ見たときに、この前の引越しの際に
    サーバーラックの下に誰かが侵入したままだったのかと
    思った……という人はいないか。
    • Re:あるある(ないない (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2007年03月15日 10時02分 (#1126337)
      こちら [hatena.ne.jp]ですね。
      確かに不正だし侵入だけど、"サーバ"には侵入してないような。

      #この人、シリコンバレーに移住したんじゃなかったっけ?
      親コメント
  • よかった (スコア:2, 参考になる)

    by kcg (26566) on 2007年03月15日 11時38分 (#1126405) ホームページ 日記
    正しい住所と氏名なんて登録しないでおいてよかった。
  • ハッカーの行動 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2007年03月15日 8時58分 (#1126290)
    >ユーザー情報の流出やサービスのデータ改竄が行われた可能性は低いとしている。

    はてなの情報のクオリティーだと仮にサイトが改竄されていても分からないかもしれない。
    といってみるテスト。
  • by Anonymous Coward on 2007年03月16日 0時09分 (#1126754)
    FreeBSDなら、ログイン失敗回数を毎日メールしてくれるからオススメ!
  • なんとなく (スコア:0, 参考になる)

    by Anonymous Coward on 2007年03月15日 9時14分 (#1126307)
    > はてなのサーバーに不正侵入

    と書いてあると、一人称が省略されているようでここに犯人がいるみたいに見えるね。

    誰かがはてなのサーバーに不正侵入
    はてなのサーバーが不正侵入を受ける
    はてなのサーバーが不正アクセスを受ける

    とかならいいけども。
  • by Anonymous Coward on 2007年03月15日 14時01分 (#1126491)
    侵入者のクラック後の行動を見る限りでは、ピンポイントに狙われたというわけではなくたまたまクラックされた感があるのですが。
    あまあまだったんでしょうね。。
    幸か不幸か個人情報云々に関してはその恩恵を受けているのかな。
    • 辞書攻撃で入れるくらいですからねえ。

      急に必要になったので、
      1.その辺に転がってたマシンをセットアップ
      2.ちょっとの間だけだから、使えればいいやで適当に設定
      3.用が済んでもそのまま放置
      4.そんなサーバーの存在を関係者が忘れてしまった頃にアタック
      5.あまあまな設定であっさり入られる
      6.存在を忘れられているので発見するのに手間取った
      とか言う流れじゃないでしょうか。
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...