おずの魔法使い

< 新しい記事

新着記事一覧(全929件)

過去の記事 >

2005.04.04

フィッシングサイトにならないように注意しよう!

(2)

テーマ：Ｌｉｎｕｘで頑張ってます(515)

カテゴリ：コンピュータ関係

セキュリティホールmemoより

フィッシング詐欺サイトを開設されたサーバーの研究

研究とついてるからついつい『サーバーじゃなくてサーバと書けって怒られてもしらないぞ』とか余計な心配をしてみたりするんだけど, それはおいといて………

詳細はリンク先のページを見てもらうとして簡単にまとめてみると, 状況としては

素のRedHat Linux 7.2(アップデートとかやってたかどうかは不明)が動作
- Apache-1.3.26
- PHP4
crackされ, 某銀行(文面からCITI BANKかと推測)のダミーサイトをインストールされた
カード番号とかを入力するとhotmail.comにむけてmailを投げるようになっている.
- ダミーページはPHP
- mail送信はsendmail

ってことみたい.

でもって

起動用のファイルが破損
　→検証されにくくするため?
　→こういう時はKnoppixなどCDやFDで起動するものを使えばいい
sshでのアクセスはrouterで特定のIP-addressからのみにしている
　→OpenSSHのセキュリティホールの可能性はないだろう
外部からアクセス出来るのは http/ftp らしい
- httpd→Apache-1.3.26/PHP4(前述の通り)
- ftp→vsftpd
Apacheのログは消去
特殊なsshdをインストール/実行された
- プロセス名がxntpd
- portも22に固定されていない. 今回は128だった
- loginしたあとをlogに残さないようになっている
- rootでlogin出来るようになっている
ftp関係のファイルがごっそり消去
　→rootでftp login可能になっていたりする
仕込まれたファイルは100個近く

ってな感じだったみたい.

『外部のどこからもつながるサービスはftpとhttpだけ』とのことだから, sendmailとかはあがってなかったのだろうね, 多分.

現状ではどこから侵入されたのかわかってないので, さてさてどうやって対策すればいいかな?

とりあえずどこが穴かわからないので対策になってないけど対策としては

ApacheやSSHなんかのバージョンをあげておく
sshdでrootでlogin出来ないようにする
　→/etc/ssh/sshd_config で PermitRootLogin yesをPermitRootLogin noに
今回のはPHPがあるところが狙われるっぽいので ApacheでPHPを使っていることを隠す(http headerに出さないようにする)
　→/etc/httpd/conf/httpd.conf を編集
　　ServerSignature Off 　　　　 ←OnからOffに
　　ServerTokens ProductOnly　　　←追加
とりあえずinetdやportmapとかは切っておく.