お名前VPSで乗っ取り発生!?
何か、お名前COMのVPSで80番ポートLISTENしてないのに、外部から80番ポートにつながる謎現象が発生した。10分間くらいで収まって今はもう元に戻った。 VPSの前段にあるルータか何かで80番のパケット奪ってどっかに繋がるような誤爆設定でも起こったんだろうか…?
2013-02-08 12:56:10お名前COMのVPSが今朝からすげー怪しい感じ。HTTPとHTTPSのパケットが乗っ取られてるんじゃないか? うち80/443なんてLISTENしてないのにopenのアラートが何度も上がる。実際誰かが空コンテンツ返してくるんだけどww https://t.co/QTbgeJ7e
2013-02-08 16:21:44お名前VPSの80/443が時々乗っ取られてるっぽい件、他に騒いでる人が居ないなぁ…。 うちの場合はたまたまhttpd上げてないからいきなりポート開いたアラートでで気づいたけど、元からhttp使ってる人は自分のアプリ障害だと勘違いするのかな?毎回数分で戻るから気づいてないだけ?
2013-02-08 16:33:04ちょっ、さっきまでhttpだけが異次元でLISTENしたり閉じたりしてたんだが、監視してるポートの殆どが謎の応答者によって奪われてopenしだしたぞ!僕自身は何も立ててない22/23/25/53/80/443が一斉にopenしたwwそしてすぐに消えた。てか笑い事じゃねぇだろ!
2013-02-08 16:50:04@kawaz @tss_ontap 特定のぽーとだけというよりも arp やられてるんじゃないかな
2013-02-08 16:51:56@tomyuk @tss_ontap うむー、arpは最初に確認してみたんだけど少なくともVPS定からは自分以外何も見えないのよね。ユーザからは手が出せない手前のどこかで問題が起こってるんだろうけど。
2013-02-08 16:55:17@tss_ontap @kawaz まぁ、いろいろあるね。vps と クラウドでは少し違うけどね
2013-02-08 16:55:46@tss_ontap @kawaz ちなみに、重大事故としてインシデントをお名前に通告したほうがいいよ
2013-02-08 16:56:21間違えた。これ S社の件。お名前なんて、そもそも近づきませんww RT @tomyuk: @tss_ontap @kawaz まぁ、いろいろあるね。vps と クラウドでは少し違うけどね
2013-02-08 17:01:02@kawaz @tss_ontap 自分のarpみてもわからないだろうね。同じセグメント上のだれかが、セグメント上に嘘を流しているんだから
2013-02-08 17:05:46@tss_ontap @kawaz ちなみにサービスは VPS(VZ)とVPS(KVM)のどっちですか?
2013-02-08 17:10:33@tss_ontap @tomyuk VPS上から見える自分のIPは普通にグローバルIPがeth0に着いてる状態ですねぇ。
2013-02-08 17:13:07@kawaz @tss_ontap そうでしょうね。その手前でしょうから、いろいろ起きているのは
2013-02-08 17:14:50@tss_ontap @kawaz ふつう VPS とかクラウドの収容スイッチってこういうこと起きないようにL3レベルまでガチガチじゃないかなと思ってたんだけどなぁ。少なくても mac アドレスを他所に詐称されないようにはしないと話にはならない
2013-02-08 17:18:48