お名前VPSで乗っ取り発生!?
-
- いいね!1
Yoshiaki Kawazu🐸ずん
@kawaz
何か、お名前COMのVPSで80番ポートLISTENしてないのに、外部から80番ポートにつながる謎現象が発生した。10分間くらいで収まって今はもう元に戻った。 VPSの前段にあるルータか何かで80番のパケット奪ってどっかに繋がるような誤爆設定でも起こったんだろうか…?
2013-02-08 12:56:10
Yoshiaki Kawazu🐸ずん
@kawaz
お名前COMのVPSが今朝からすげー怪しい感じ。HTTPとHTTPSのパケットが乗っ取られてるんじゃないか? うち80/443なんてLISTENしてないのにopenのアラートが何度も上がる。実際誰かが空コンテンツ返してくるんだけどww https://t.co/QTbgeJ7e
2013-02-08 16:21:44
Yoshiaki Kawazu🐸ずん
@kawaz
お名前VPSの80/443が時々乗っ取られてるっぽい件、他に騒いでる人が居ないなぁ…。 うちの場合はたまたまhttpd上げてないからいきなりポート開いたアラートでで気づいたけど、元からhttp使ってる人は自分のアプリ障害だと勘違いするのかな?毎回数分で戻るから気づいてないだけ?
2013-02-08 16:33:04
Yoshiaki Kawazu🐸ずん
@kawaz
ちょっ、さっきまでhttpだけが異次元でLISTENしたり閉じたりしてたんだが、監視してるポートの殆どが謎の応答者によって奪われてopenしだしたぞ!僕自身は何も立ててない22/23/25/53/80/443が一斉にopenしたwwそしてすぐに消えた。てか笑い事じゃねぇだろ!
2013-02-08 16:50:04
加納智之@線維筋痛症 🇺🇦save Ukraine
@tomyuk
@kawaz @tss_ontap 特定のぽーとだけというよりも arp やられてるんじゃないかな
2013-02-08 16:51:56
Yoshiaki Kawazu🐸ずん
@kawaz
@tomyuk @tss_ontap うむー、arpは最初に確認してみたんだけど少なくともVPS定からは自分以外何も見えないのよね。ユーザからは手が出せない手前のどこかで問題が起こってるんだろうけど。
2013-02-08 16:55:17
加納智之@線維筋痛症 🇺🇦save Ukraine
@tomyuk
@tss_ontap @kawaz まぁ、いろいろあるね。vps と クラウドでは少し違うけどね
2013-02-08 16:55:46
加納智之@線維筋痛症 🇺🇦save Ukraine
@tomyuk
@tss_ontap @kawaz ちなみに、重大事故としてインシデントをお名前に通告したほうがいいよ
2013-02-08 16:56:21
加納智之@線維筋痛症 🇺🇦save Ukraine
@tomyuk
間違えた。これ S社の件。お名前なんて、そもそも近づきませんww RT @tomyuk: @tss_ontap @kawaz まぁ、いろいろあるね。vps と クラウドでは少し違うけどね
2013-02-08 17:01:02
加納智之@線維筋痛症 🇺🇦save Ukraine
@tomyuk
@kawaz @tss_ontap 自分のarpみてもわからないだろうね。同じセグメント上のだれかが、セグメント上に嘘を流しているんだから
2013-02-08 17:05:46
加納智之@線維筋痛症 🇺🇦save Ukraine
@tomyuk
@tss_ontap @kawaz ちなみにサービスは VPS(VZ)とVPS(KVM)のどっちですか?
2013-02-08 17:10:33
Yoshiaki Kawazu🐸ずん
@kawaz
@tss_ontap @tomyuk VPS上から見える自分のIPは普通にグローバルIPがeth0に着いてる状態ですねぇ。
2013-02-08 17:13:07
加納智之@線維筋痛症 🇺🇦save Ukraine
@tomyuk
@kawaz @tss_ontap そうでしょうね。その手前でしょうから、いろいろ起きているのは
2013-02-08 17:14:50
加納智之@線維筋痛症 🇺🇦save Ukraine
@tomyuk
@tss_ontap @kawaz ふつう VPS とかクラウドの収容スイッチってこういうこと起きないようにL3レベルまでガチガチじゃないかなと思ってたんだけどなぁ。少なくても mac アドレスを他所に詐称されないようにはしないと話にはならない
2013-02-08 17:18:48