2005.04.04
テーマ: Linuxで頑張ってます(515)
カテゴリ: コンピュータ関係
セキュリティホールmemoより
フィッシング詐欺サイトを開設されたサーバーの研究
研究とついてるから ついつい『サーバーじゃなくてサーバと書けって怒られてもしらないぞ』とか余計な心配をしてみたりするんだけど, それはおいといて………
詳細はリンク先のページを見てもらうとして簡単にまとめてみると, 状況としては
でもって
『外部のどこからもつながるサービスはftpとhttpだけ』とのことだから, sendmailとかはあがってなかったのだろうね, 多分.
現状では どこから侵入されたのかわかってないので, さてさてどうやって対策すればいいかな?
とりあえず どこが穴かわからないので対策になってないけど対策としては
とはいえ今回のものへの対策ではなくても これくらいはやっておいた方がいいと思う.
自前サーバ持ってる人はチェックしておこうね!
apt-get update && apt-get upgrade だ!
フィッシング詐欺サイトを開設されたサーバーの研究
研究とついてるから ついつい『サーバーじゃなくてサーバと書けって怒られてもしらないぞ』とか余計な心配をしてみたりするんだけど, それはおいといて………
詳細はリンク先のページを見てもらうとして簡単にまとめてみると, 状況としては
- 素のRedHat Linux 7.2(アップデートとかやってたかどうかは不明)が動作
- Apache-1.3.26
- PHP4
- Apache-1.3.26
- crackされ, 某銀行(文面からCITI BANKかと推測)のダミーサイトをインストールされた
- カード番号とかを入力するとhotmail.comにむけてmailを投げるようになっている.
- ダミーページはPHP
- mail送信はsendmail
- ダミーページはPHP
でもって
- 起動用のファイルが破損
→検証されにくくするため?
→こういう時はKnoppixなどCDやFDで起動するものを使えばいい - sshでのアクセスはrouterで特定のIP-addressからのみにしている
→OpenSSHのセキュリティホールの可能性はないだろう - 外部からアクセス出来るのは http/ftp らしい
- httpd→Apache-1.3.26/PHP4(前述の通り)
- ftp→vsftpd
- httpd→Apache-1.3.26/PHP4(前述の通り)
- Apacheのログは消去
- 特殊なsshdをインストール/実行された
- プロセス名がxntpd
- portも22に固定されていない. 今回は128だった
- loginしたあとをlogに残さないようになっている
- rootでlogin出来るようになっている
- プロセス名がxntpd
- ftp関係のファイルがごっそり消去
→rootでftp login可能になっていたりする - 仕込まれたファイルは100個近く
『外部のどこからもつながるサービスはftpとhttpだけ』とのことだから, sendmailとかはあがってなかったのだろうね, 多分.
現状では どこから侵入されたのかわかってないので, さてさてどうやって対策すればいいかな?
とりあえず どこが穴かわからないので対策になってないけど対策としては
- ApacheやSSHなんかのバージョンをあげておく
- sshdでrootでlogin出来ないようにする
→/etc/ssh/sshd_config で PermitRootLogin yesをPermitRootLogin noに - 今回のはPHPがあるところが狙われるっぽいので ApacheでPHPを使っていることを隠す(http headerに出さないようにする)
→/etc/httpd/conf/httpd.conf を編集
ServerSignature Off ←OnからOffに
ServerTokens ProductOnly ←追加 - とりあえずinetdやportmapとかは切っておく.
とはいえ今回のものへの対策ではなくても これくらいはやっておいた方がいいと思う.
自前サーバ持ってる人はチェックしておこうね!
apt-get update && apt-get upgrade だ!
お気に入りの記事を「いいね!」で応援しよう
[コンピュータ関係] カテゴリの最新記事
-
プログラミング言語C 2007.11.27 コメント(2)
-
laptopでトラブル 2007.08.04
-
Zopeのインストール 2007.05.23
Re: フィッシングサイトにならないように注意しよう!
yukipony
さん
読んでからヒヤ~としました。
慌てて一番古いサーバーの中を覗いて見て、とりあえず安心です。
過去のsendmailやbindのセキュリティーホールで実績(笑)があるもんで・・・ (2005.04.04 17:14:56)
慌てて一番古いサーバーの中を覗いて見て、とりあえず安心です。
過去のsendmailやbindのセキュリティーホールで実績(笑)があるもんで・・・ (2005.04.04 17:14:56)
Re:Re: フィッシングサイトにならないように注意しよう!(04/04)
tsukas@
さん
yukiponyさん
>読んでからヒヤ~としました。
元のサイトにもありますが, その感覚が大事なんですよね~
たかをくくってると いつ自分が被害者になるかわかりません.
ましてやこの世界被害者になったその後はある意味加害者ですから!
ちょっぴり臆病なくらいがいいんですよ…… 多分:-p
今回のに関しては apt-get なんかは気休めにしかならないかも
しれませんが, やれることはやっておきましょう. お互いに:-p
(2005.04.04 17:37:37)
>読んでからヒヤ~としました。
元のサイトにもありますが, その感覚が大事なんですよね~
たかをくくってると いつ自分が被害者になるかわかりません.
ましてやこの世界被害者になったその後はある意味加害者ですから!
ちょっぴり臆病なくらいがいいんですよ…… 多分:-p
今回のに関しては apt-get なんかは気休めにしかならないかも
しれませんが, やれることはやっておきましょう. お互いに:-p
(2005.04.04 17:37:37)
【毎日開催】
15記事にいいね!で1ポイント
PR
つ!
まぁ色々ですよ.
コメント新着
フリーページ
カレンダー
キーワードサーチ
▼キーワード検索
© Rakuten Group, Inc.
