更新 2013年2月17日作成 2013年2月8日

お名前VPSで乗っ取り発生！？

お名前COMのVPSサービスで、自分が上げてもいないポートが外部から見たら勝手にopenして何者かが応答を返すという乗っ取り案件が発生しているようなので経緯をメモ。調査に進展等あれば随時追記していきます。

security vps セキュリティ

kawaz
5820
1
2
1

前へ 1 2

wataruman @seedleaf

@kawaz messages等でARPのログが残ったりしてませんか？

2013-02-08 17:18:55

加納智之@線維筋痛症 🇺🇦save Ukraine @tomyuk

@tss_ontap @kawaz NATがあってそいつが狂ったとしても、どこかに繋がっちゃだめだよね

2013-02-08 17:21:51

Yoshiaki Kawazu🐸ずん @kawaz

とりあえずVPS上のログ類は一切何も痕跡がないですねぇ。もっと手前で起こってる問題のようです。

2013-02-08 17:29:21

Yoshiaki Kawazu🐸ずん @kawaz

説明めんどいから一連のツイートをトゥギャッターで纏めてコレ見て、調査して報告くれって感じで問い合わせフォームに投げておいたｗ　ツイったのがほぼ全てだからｗ

2013-02-08 17:39:22

ぱせら @pasela

@kawaz トゥギャッターのURLが送られてくるとか、サポートもびっくりだｗ

2013-02-08 17:40:50

Yoshiaki Kawazu🐸ずん @kawaz

お名前VPSメ…、この時間にまた乗っ取り発動かよ…人の睡眠妨げやがって…、しかも今度はポートオープンじゃなくUDP53乗っ取られてるぽいし！tinydns正常に動いてるのに、外からのパケットがどっかで奪われて届かない！

2013-02-09 02:06:40

Yoshiaki Kawazu🐸ずん @kawaz

まぁ、昨日の日中に怪しい事になり始めた時点で、万が一を考えてこのインスタンスにDNSの仕事をさせないよう関連ドメインのネームサーバから外してたから、監視システム以外にここに問い合わせするクライアントは居ないはずだから実害は無いはずだけどさ〜、いい加減何とかして欲しいわ。

2013-02-09 02:16:59

Yoshiaki Kawazu🐸ずん @kawaz

メールみたらお名前からメール来てた。「障害対策の一環として弊社で導入したセキュリティ機器の挙動によるものと判断いたします。〜中略〜なお、お寄せいいただいた情報のようなパケットの乗っ取りやルーティングの障害はございませんことを申し添えます。」

2013-02-09 02:23:47

Yoshiaki Kawazu🐸ずん @kawaz

？？？お名前の機器か何かしらんが実際に80番で誰かが勝手に応答したり、現在もリアルタイムでDNS応答出来ない状態が続いてるのに、乗っ取りや障害は無いってどういう事なんだ。悪意ある第三者による攻撃じゃないから安心してねって事が言いたいのかな？多分。

2013-02-09 02:30:10

Yoshiaki Kawazu🐸ずん @kawaz

そんな事より自社の問題だと認識出来てるなら早く安定させてくれよ。外部からの攻撃対策で機器設置してその本人が障害起こすとか、本末転倒だな。まぁ、ありがちだけともさとにかくもう寝かしてくれを。

2013-02-09 02:34:05

Satchan @SatchanP

@kawaz 外注に全部まかせてるからすぐに対応してくれないよあきらめたほうがよさげ

2013-02-09 02:35:47

Yoshiaki Kawazu🐸ずん @kawaz

@SatchanP 分かっちゃ居るが文句言いたい。理不尽な理由での安眠妨害は重罪

2013-02-09 02:39:27

ナオキ @naoki___

@kawaz ひょっとして、上げてるサービスが嘘応答を返す状態だったり、上げてないサービスが勝手に嘘応答を返したりする状態？

2013-02-09 02:40:43

Yoshiaki Kawazu🐸ずん @kawaz

@naoki___ まぁそんな状態ですわ。少し前の僕のツイートにトゥギャッターに纏めがある。

2013-02-09 02:43:01

ナオキ @naoki___

@kawaz 上流のarpなら辻褄合うねえ。手の出し様が無い

2013-02-09 02:50:21

ナオキ @naoki___

@kawaz 上流のスイッチが異常動作してんのと変わらん状態だから、再発防止策の提示があるまではその環境から逃げた方が良いんじゃないの

2013-02-09 03:03:42

Yoshiaki Kawazu🐸ずん @kawaz

. @naoki___ 既にサービス運用的には外してる状態だが、お名前へのツッコミの為に監視だけ継続した状態だったのでアラートで起こされたまで。てか未だに改善されないな。一晩DNSポート塞がれた(奪われた)ままだ…。

2013-02-09 06:52:37

加納智之@線維筋痛症 🇺🇦save Ukraine @tomyuk

@tss_ontap 論法がおかしいと思う＞「お名前」。単に繋がらないと言う事と、他のホストにつながってセッションが張れてしまうのは、別のことでしょ

2013-02-09 13:18:54

加納智之@線維筋痛症 🇺🇦save Ukraine @tomyuk

@kawaz @tss_ontap じゃ、実際に観測された事実を、技術的に説明して欲しいものですね

2013-02-09 13:20:12

加納智之@線維筋痛症 🇺🇦save Ukraine @tomyuk

自社のセキュリティが崩壊しているのに認めようともしないんだからね RT @tss_ontap: 日本最大のレジストラがこれですよ。これが日本のインターノットクオリティ。

2013-02-09 13:30:09

加納智之@線維筋痛症 🇺🇦save Ukraine @tomyuk

@kawaz @tss_ontap 起きているときでいいからさ。port 80 で正体不明なやつにつながっているのが観測されたら traceroute をやってくれないかな

2013-02-09 13:35:24

Yoshiaki Kawazu🐸ずん @kawaz

そういえばお名前からVPSの通信障害についての返答あった。「セキュリティ機器の挙動につきましてはセキュリティ上非公開の情報となりますので、詳細のご案内はできかねますがご推察のとおりのような動作をするものであることは否定いたしません。」とのこと。

2013-02-17 21:31:10

Yoshiaki Kawazu🐸ずん @kawaz

ちなみにこの回答を得た際の問い合わせはこんな。「…例えばVPSインスタンスの前にアプリケーション層の攻撃パターン検出とかも可能な透過プロキシのようなものがあって、その設定をミスったか誤検出か何かで今回のような症状が現れたということでしょうか？」（抜粋）

2013-02-17 21:34:21

Yoshiaki Kawazu🐸ずん @kawaz

そんな感じで第3者による攻撃などではないです。そもそもは先月に第3者攻撃があって通信トラブルが発生し、その対策のために新た行った対策が誤作動したのが今回の障害です。御迷惑おかけいたしました。のような感じらしいです。

2013-02-17 21:38:54

Yoshiaki Kawazu🐸ずん @kawaz

うーむ、でも普通は不正パケットなんてドロップして終わりじゃないの？80番のパケット奪って勝手に別のコンテンツ返すとか普通やるもんだろうか…？とか微妙に納得行かない点もあるけどコレ以上は引き出せなさそうなのでおしまいとすることにした。以上、顛末報告でした。

2013-02-17 21:41:49

前へ 1 2

いま話題のタグ