兼任サーバー管理者のためのサーバーセキュリティ その3

侵入試行するとログに記録が残ると書きましたが、実際の不正アクセスを試みた記録を紹介したいと思います。

例えば、telnet, ssh, ftp ポートに対してリモートアクセスを試みたログ。OSはFreeBSD。

以下は一部を抽出したものですが、全部を見たい場合はこちらをどうぞ。

Feb 22 11:23:13 server inetd[37366]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb 22 11:23:14 server inetd[37367]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Mar 2 16:15:08 server sshd[93447]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)
Mar 2 16:16:36 server inetd[93449]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Mar 2 16:16:36 server inetd[93450]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service telnetd (tcp)
Mar 2 16:16:55 server inetd[93451]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service telnetd (tcp)
Feb  7 04:41:05 server sshd[75121]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)
Feb  7 04:41:08 server sshd[75122]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)
Feb  7 04:41:11 server sshd[75123]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)
Feb  7 04:41:11 server sshd[75124]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)
Feb  7 04:41:14 server sshd[75126]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)
Feb  7 04:41:21 server sshd[75128]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)
Feb  7 04:41:28 server inetd[75129]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 04:41:29 server inetd[75130]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 04:41:32 server sshd[75131]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)
Feb  7 04:41:32 server sshd[75132]: refused connect from p654aaf.okymff01.ap.so-net.ne.jp (121.101.74.175)

Webサーバーに対して、脆弱性が含まれるCGIが含まれていないかスキャンした形跡。全部見たい場合はこちら。 (約4MB)

p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:54 +0900] "GET /scripts/upload/upload-submit.do HTTP/1.1" 302 346 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:54 +0900] "GET /admin/define.inc.php?match=http://xxxx./ HTTP/1.1" 302 366 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:54 +0900] "GET /cgi-bin/upload/upload-submit.do HTTP/1.1" 302 346 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:54 +0900] "GET /upload/upload-submit.do HTTP/1.1" 302 346 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:54 +0900] "GET /.anydomain.test HTTP/1.0" 302 346 "-" "-"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:55 +0900] "GET / HTTP/1.1" 302 346 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:55 +0900] "GET / HTTP/1.1" 302 346 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:55 +0900] "GET /axis/DirectDownload.jsp HTTP/1.1" 302 346 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:58 +0900] "GET / HTTP/1.1" 302 346 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"
p654aaf.okymff01.ap.so-net.ne.jp - - [07/Feb/2017:02:32:58 +0900] "POST / HTTP/1.1" 302 346 "-" "Fastream NETFile Server"

そして、次が、ログイン名の試行まで記録されたログファイルの一部。全部見たい場合はこちら。

Feb  7 02:26:52 server inetd[27756]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 02:27:08 server inetd[27758]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 02:27:24 server inetd[27760]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 02:28:11 server sshd[27766]: error: PAM: authentication error for illegal user cisco from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 02:28:12 server sshd[27769]: error: PAM: authentication error for illegal user Cisco from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 04:27:51 server inetd[29336]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 04:29:47 server inetd[29341]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 04:30:28 server inetd[29345]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 04:30:30 server inetd[29346]: refused connection from p654aaf.okymff01.ap.so-net.ne.jp, service ftpd (tcp)
Feb  7 04:32:51 server sshd[29352]: error: PAM: authentication error for illegal user n3ssus from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 04:32:55 server sshd[29362]: error: PAM: authentication error for illegal user anonymous from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 04:32:56 server sshd[29367]: error: PAM: authentication error for illegal user guest from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 04:32:59 server sshd[29376]: error: PAM: authentication error for illegal user emailswitch from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 04:32:59 server sshd[29381]: error: PAM: authentication error for illegal user product from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 04:33:00 server sshd[29384]: error: PAM: authentication error for illegal user admin from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 04:33:01 server sshd[29385]: error: PAM: authentication error for illegal user FlaOzyY9 from p654aaf.okymff01.ap.so-net.ne.jp
Feb  7 04:33:01 server sshd[29401]: error: PAM: authentication error for root from p654aaf.okymff01.ap.so-net.ne.jp

実際に試行したログイン名をチェックしてみるとなかなか興味深い。anonymous, cisco, emailswitch, admin など何を狙っているか推測できるような文字列も見て取れます。

しかし、こんなのを堂々と国内アクセスポイントから、発行するってどういう神経なんでしょう?ボットに侵されている?

前のページに、

次に、コンピューターに侵入するには、

  • 正面玄関から入る
  • サービスの脆弱性を利用して、無理矢理裏口を作って入る
  • ユーザーに別の玄関を作ってもらって、そこから入る
  • 正式OSやアプリケーションにあらかじめ組み込まれているバックドアから入る

のいずれかになります。

と、書きましたが、ssh や telnet への接続は、正面玄関に該当します。

Webページへのアクセスは、脆弱性を利用して裏口を作る 行為の前段階スキャンと思われます。

当サーバーは、ここら辺はしっかり対策してあるサーバーなので被害はありませんが、ログイン試行したアカウントが存在し、デフォルトパスワード が設定してあると侵入できてしまいます。

ログファイルをチェックしているだけで、こういう情報が記録できます。

もっと情報を集めれば、ログイン試行したアカウント情報、httpd-access.log に含まれている脆弱性があるモジュールのキーワードを元にこの犯人が何を狙っているのか推測することができるかもしれません。
現時点では、このホストから侵入されている気配は無いので対策を強化する必要はないと思いますが、アクセスポイントは常に同じなので、

  1. ISPの迷惑窓口にコンタクトする
  2. ファイヤーウォールで、このIPアドレスからのパケットを拒否する

という対策を取ることが出来るでしょう。

以上、ログを取ること、目視で確認することの重要性についてサンプルを紹介してみました。

 

コメントを残す