ブログトップ 記事一覧 ログイン 無料ブログ開設

TOTOROの自堕落 日記 このページをアンテナに追加 RSSフィード



2003 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 09 |
2012 | 05 | 06 | 07 | 08 | 09 | 11 | 12 |
2013 | 01 | 02 | 03 | 04 |
2016 | 06 |
あわせて読みたい


このページでは、ページ維持のためアクセス解析を行っています。
お仕事等のご相談は、info@network-forensics.info までご連絡下さい。
Twitterはじめました。@totoromasaki にてつぶやいてます。
 | 

2012-05-30

国内のVPS について 10:50 国内のVPS についてを含むブックマーク 国内のVPS についてのブックマークコメント

まず、国内のVPS事情についてだ。国内には、様々な事業者がVPSを提供している。中には、月々わずか500円足らずで借りることのできるVPSすら存在する。また、VPSでは足らずに、クラウドサービスを利用しているユーザもいる。これらのVPSでは、ディスク容量やCPUの数、スレッド数、メモリサイズなどで、事細かにサービス品目が異なる。

では、実際にいくつかのサービスについてみてみよう。

まずは、先ほど示したワンコインVPSだ。中で稼働しているOSは、Centos 5.5 だ。このサービスでは、同一サーバ上に、数多くのユーザを利用していると推測され、非常に動作が重いのが特徴だ。そこで、処理能力を計測すべく、下記のようなコマンドを実行してみた。

何はともかく、ディスクへの書き込みが異様に重いと感じる。

time sudo yum update

real 6m15.104s

user 0m5.041s

sys 0m0.683s

同様の環境を、比較的高価な別のVPSに用意し、同じ time sudo yum update を実行した結果は、下記だ。このように、非常に安価なvpsは、サービスレベルに難があるように感じられる。

time sudo yum updat

real 1m23.131s

user 0m33.218s

sys 0m19.095s

  1. 踏み台に対する考え方

さて、お次はこれらのvpsを利用していると、セキュリティ上の問題がどのように発生しているかをみてみよう。

まず、高速かつ、安定したvpsを設置している同一のセグメントから、大量のsshアタックがやってきた。

49.212.2.xxx (www20109u.xxxxx.ne.jp): 6110 times

49.212.47.xxx (www31424u.xxxxx.ne.jp): 59 times

49.212.97.xxx (www39397u.xxxxx.ne.jp): 1576 times

これらは、すべて同一の事業者が提供しているvpsからのssh atackだ。みてわかるとおり、その数たるや尋常な数字ではない。では、こうした攻撃がなぜ発生しているか?それについて、ひもといていこう。

まず、こうしたssh atack は、管理者が適切な管理をしていないから発生していることは言うまでもない。非常に安価であり、大量にドメインを抱えたり、情報を配信したとしても、誰からも文句を言われない。そう、利用者はレンタルサーバ屋である場合がある。その証拠に、ssh atack をしているIPアドレスにアクセスすると、レンタルサーバ屋の画面が表示されることがままある。次に、何も考えずに、単なるファイル置き場として、お気楽に考えている、素人が設置しているケースだ。この場合は、apache がデフォルト画面であることや、ssh へのアカウントログインで、root が有効であったり、デフォルトパスワードがそのまま有効であることからも、素人がお気楽に使っていると推測される。

こうしたことから、同一のネットワークから、ssh atack が繰り返し行われている状況を踏まえると、比較的簡単にサーバが踏まれてる(侵入されている)事が多いことに気づかされる。

これに対し、安価なワンコインVPSでは、外部からのssh atack によって、システム全体が高負荷になることを恐れ、vpsが提供されて間もない頃に、早々に、このssh atack の回避がシステムアップデートによって行われた。通常、sshのポートは、22/tcpであるが、これを異なるポートへアップデートしたのである。

皮肉なことに、システムが不安定、かつ、遅いワンコインが、現状以上に遅く、不安定になることを恐れ、ssh ポートを変更した。これに対し、システムが安定稼働している比較的高価なシステムにおいては、現在もなお、22/tcp で稼働し、同一ネットワークからssh atackの攻撃にさらされている現状がある。

  1. 攻撃に遭わないための対策

では、これらの攻撃に遭わないためには、どうすれば良いのだろうか?

ひとつは、安価なvpsサービスが行ったように、port を変更すればよいように思われる。しかしながら、実際には変更されたportが決まっているのであれば、その決まったportに対して攻撃を行うように変更すれば、同様に攻撃が行われるため、単なるportの変更だけでは、対応のしようがない。そこで、単なるportの変更だけではなく、ssh の鍵交換を設定すれば、仮にport番号がばれようとも、関係なくなる。もし、大量にssh atackを受けて困っているのであれば、こうした鍵交換も一つの方法として、考えてみてはいかがだろうか。

では、こうした動きを、攻撃者視点で考えてみよう。

  1. 攻撃者はこう考えている

攻撃者は、特定のvpsサービスにログインできれば、その中の情報を調べる。portの開放状態を調べ、traceroute などのネットワークのコマンドを用いて、ネットワークの状態を調べるだろう。ここから、ネットワークの全体像、少なくともセグメントを見極めることができる。こうして、次に行うのは、ssh の辞書アタックだ。同一セグメントに何台のvpsがあるかはわからないが、しつこく辞書アタックを繰り返して行えば、そのうちの1つや2つ、簡単に侵入できるだろう。当然として、ヒットしたパスワードとIDの組み合わせは、他の同一サービス上の、別セグメントに対しても有効であることが多い。

  1. まとめ

サーバ毎に管理者IDとパスワードを変更する事は重要なことだ。

快適で安価なvpsはそれだけ、周りに不慣れな管理者が居ることにも繋がる。vpsを借りるなら、相応の管理体制をとり、攻撃者から自分のvpsを確実に守れるようになって欲しい。

トラックバック - http://d.hatena.ne.jp/magisystem/20120530

2012-05-27

あれ? 11:58 あれ?を含むブックマーク あれ?のブックマークコメント

久々に、日記を書こうとしたらあれこれと、インターフェイスが変わっていて、訳わからんことになってる。

あの機能、どこいった?

いろいろと・・・・。 11:59 いろいろと・・・・。を含むブックマーク いろいろと・・・・。のブックマークコメント

やっぱり、わからない。どうなってるの。これ。

できたかな? 12:11 できたかな?を含むブックマーク できたかな?のブックマークコメント

トラックバック - http://d.hatena.ne.jp/magisystem/20120527

2012-05-06

その1 4月30日 11:37 その1 4月30日を含むブックマーク その1 4月30日のブックマークコメント

はなの舞 武蔵小金井駅前店で教え子(全員 今年の春卒業)と食事していた時の出来事。

いつものように、クルマでお出かけしたので、ノンアルコールのみを頼んでいた。教え子がウーロンハイを頼み、私が烏龍茶を頼んだら、本来は烏龍茶にストローが入っているべきところ、ウーロンハイにストローが入っていた。

そんなことになっているとは知らずに、ストローの入っていた烏龍ハイを飲んでしまった。慌てて、店員を呼んだのだが・・・

  • さっき頼んだ、烏龍茶とウーロンハイだけど、ウーロンハイにストローが入っていたんだけどどういうこと?
    • 誤って入っていたんですね。すみません。
  • ストローが入っていた方を誤って飲んでしまったんだけど、どういうことかな?
    • でも、烏龍茶と烏龍ハイを頼まれましたよね?それが問題あるんですか?(半分キレ気味に)
  • こういうことなんだけど(車のキーを見せながら)
    • ですが、頼まれたの正しく出してますよね?
  • 車の運転するのに、アルコール飲んでどうするの!
    • (意味がわからない様子)
  • 責任者呼んでくれる?
    • 責任者ですか?
  • そう、責任者。
    • 責任者・・・
  • 店長を呼んでよ(事の重大性理解してないのかねぇと、考えながら)
    • 呼んできます。

このあと、少ししてから

  • お客様、何か不手際ありましたでしょうか?
    • 先ほどの説明繰り返し。
    • で、どうしてくれるの?車運転するのに、飲んじゃったんだよ?
  • どうと申されましても・・・・
    • このままじゃ、運転できないでしょ!
  • どれくらい飲まれました?
    • すぐに気づいたから、1口か2口くらい
  • だったら、2時間くらい。この店に居ていただければ、アルコール抜けますから大丈夫ですよ!
    • 本当に?
  • ええ。それくらいで抜けますよ。ソフトドリンク代はサービスしますので!
    • このまま、ここにいろと?
  • はい

店長の名乗る人の話を聞きつつ、食事を続け、90分くらいしてから店を出て、クルマの中で数時間仮眠してから、帰宅した。

  • あの場で、店長はなぜ代行運転を呼ぶという手段を取らなかったのか?
  • 帰りのタクシー代を出し、翌日電車でこさせるという、手段もあっただろうに・・・

などと考えながら、今に至る。

その1 の翌日 11:37 その1 の翌日を含むブックマーク その1 の翌日のブックマークコメント

はなの舞を運営している、チムニーに問い合わせをしていたら、翌日にメールが来てました。

お休みのところ失礼致します。

突然のメール申し訳ございません。

私、チムニー株式会社の

はなの舞 武蔵小金井店を担当をしております

エリアマネージャーの◯◯と申します。

この度は誤ったドリンクの提供により、お客様に大変なご迷惑を

おかけして申し訳ございませんでした。

また、店舗責任者が大変失礼な対応をしてしまい申し訳

ございませんでした。

本来であれば私どもの方で病院にお連れしなくては

いけませんでした。

お客様のゴールデンウイークを台無しにする結果と

なってしまい大変申し訳ございません。

その後、お体の具合はいかがでしょうか。

病院などへはいかれましたでしょうか。

今後の対応につきましては精神誠意対応させていただきます。

つきましては謝罪にお伺いしたいと思っております。

ご都合のよい日時とご連絡先をご返信いただけませんでしょうか。

恐れ入りますがよろしくお願い申し上げます。

返事出してませんけど、どうするのがいいんですかね。こういう場合は。

とりあえず、今晩にでもメール出しておきますかね。

その2 5月4日 11:47 その2 5月4日を含むブックマーク その2 5月4日のブックマークコメント

久しぶりに、データの楽園*1の関係者が東京に遊びに来ていたので、関係者や知人たちと秋葉で食事。

今回選んだのは、てけてけ 秋葉原店

ゴールデンウィークまっただ中とはいえ、

  1. 呼び鈴押しても来ない。
  2. 注文した料理がいつまで待っても来ない。
  3. 注文から30分以内に届いたとはいえ、注文したのはわずか3品。

などという状況に加え、

味付けが非常に濃く、全てにおいて塩辛い。

そんな、すごい状況下で帰ろうとした時の出来事。

f:id:magisystem:20120504201801j:image:w360

お分かりいただけるだろうか。賞味期限が「2012.3」と記されていることを。

こともあろうに、賞味期限が1ヶ月以上過ぎた品を客に提供していた。しかも、その旨を店員に指摘しても、最初は適正な期限と取り合おうとしなかった。

店長が出てきたところで

今確認しましたところ、この商品はすべて賞味期限が過ぎているので、お出しすることができない

と言っていた。ドリンクの賞味期限すら管理できないとは、どういう管理体制なのか疑う。

その2 の翌日 11:54 その2 の翌日を含むブックマーク その2 の翌日のブックマークコメント

先ほどの てけてけ 秋葉原店を管理している会社から、次のメールが届いた

私、てけてけ秋葉原店

スーパーバイザーの◯◯と申します。

この度、弊社店舗をご利用頂いたにも

関わらず、数々の対応不備

誠に申し訳ごさいませんでした。

深くお詫び申し上げます。

今回ご指摘頂きました内容に関し

まして、先ずは調査を行い改めてご連絡させて頂きたいと存じます。

何卒、ご了承頂きますよう

お願い申し上げます。

又、大変恐縮ではございますが、

今後の対応に関して、直接お話しを

させて頂きたく、ご連絡先とご都合を教えて頂けないでしょうか?

何卒宜しくお願い申し上げます。

こちらは、こういうことに慣れている方が、一緒に食事されていたので、その人にすべてを託すことにする。

賞味期限が過ぎてるのは、食品衛生法とか色々と関係してくるので、専門家に任せようかと思ってる。

*1:ささやかな復讐

トラックバック - http://d.hatena.ne.jp/magisystem/20120506
 | 
このサイトは自堕落日記です。
苦情等は一切受け付けておりません。
Map