TOPに戻る
鬱るんです
躁鬱病のITエンジニア「はまー」が心と体の模様を記した雑記帳。 大手IT企業で心身ともにぼろぼろになり退職した後、ほそぼそと働いたり事業を立ち上げようとして頓挫したり、作業所に通ったり障害者雇用で働いたりと紆余曲折したが、今は無職な毎日。

最近、うちのサーバへの中国からの攻撃が激しくなってきた。前からちょいちょいあったのだが、何か狙われているのか、巡回リストに入れられてしまったのか。

たとえば、Apacheのログだがこんな感じである。

XXX.XXX.XXX.XXX - - [04/Oct/2013:16:46:55 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "https://www.yet-another-world.jp/" "Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20100101 Firefox/21.0"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:46:56 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 251 "https://www.yet-another-world.jp/" "Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:46:57 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 244 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:00 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:01 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:02 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 252 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:02 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 247 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:02 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 249 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:02 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 249 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:03 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:03 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 249 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:03 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 247 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:03 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 248 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:03 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 247 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:04 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 249 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:04 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 248 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:04 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:04 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 249 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:04 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:04 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:05 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:06 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 248 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:08 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:08 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 248 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:08 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 248 "https://www.yet-another-world.jp/xxx?yy=ZZZ" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:08 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 403 246 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:08 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 248 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:09 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 248 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:09 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 259 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:09 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 249 "https://www.yet-another-world.jp/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
XXX.XXX.XXX.XXX - - [04/Oct/2013:16:47:09 +0900] "GET /xxx?yyy=zzz HTTP/1.1" 404 249 "https://www.yet-another-world.jp/xxx.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"

えっと、マスクし過ぎて何のこっちゃわからんな。

最初の XXX.XXX.XXX.XXX IPアドレスだが、ドメインを調べると中国。この攻撃はいろんなアドレスから来てドメインも違ったりするが、ほとんど中国。たまに「え、こんな国のローカルなプロバイダから?」とか「こんな国の大学から?」というのがあるが、おそらく踏み台にされているのだろう。

そして

GET /xxx?yyy=zzz

の部分は思い切りやばいので全部マスクしているが、よくあるオープンソースのソフトウェアの脆弱性をスキャンしているアクセスである。ここも実に多種多様なものがあるが、今のところうちのサーバでの実害は確認されていない。

一応、WebアプリをインストールしてできるデフォルトのURL名をダミーのものに変更してたり、ある程度自衛策を取っている。他にもいろいろ自衛策を取っているが、セキュリティ上これ以上はシークレットとしておく。

で、こいつらを野放しにしておくのはやばいので、ここ数日tcpdumpで国内のドメイン以外のHTTPパケットを監視して、中国からのアクセスを徹底的にはじくように、iptablesで拒否設定をしていった。
(この国内のドメインを除外するのが、まためんどうなのだが)

この状態でパケットをキャプチャしたところ、

17:50:28.915356 IP YYY.YYY.YYY.252.27209 > www.yet-another-world.jp.http: Flags [S], seq 3660266636, win 5840, options [mss 1414,sackOK,TS val 3107755091 ecr 0,nop,wscale 7], length 0
17:50:28.933282 IP YYY.YYY.YYY.254.36535 > www.yet-another-world.jp.http: Flags [S], seq 2816240399, win 5840, options [mss 1414,sackOK,TS val 3107755093 ecr 0,nop,wscale 7], length 0
17:50:29.036749 IP YYY.YYY.YYY.251.59846 > www.yet-another-world.jp.http: Flags [S], seq 3943735479, win 5840, options [mss 1414,sackOK,TS val 3107755094 ecr 0,nop,wscale 7], length 0
17:50:31.913208 IP YYY.YYY.YYY.252.27209 > www.yet-another-world.jp.http: Flags [S], seq 3660266636, win 5840, options [mss 1414,sackOK,TS val 3107758091 ecr 0,nop,wscale 7], length 0
17:50:31.933704 IP YYY.YYY.YYY.254.36535 > www.yet-another-world.jp.http: Flags [S], seq 2816240399, win 5840, options [mss 1414,sackOK,TS val 3107758093 ecr 0,nop,wscale 7], length 0
17:50:32.043700 IP YYY.YYY.YYY.251.59846 > www.yet-another-world.jp.http: Flags [S], seq 3943735479, win 5840, options [mss 1414,sackOK,TS val 3107758094 ecr 0,nop,wscale 7], length 0
17:50:37.920898 IP YYY.YYY.YYY.252.27209 > www.yet-another-world.jp.http: Flags [S], seq 3660266636, win 5840, options [mss 1414,sackOK,TS val 3107764091 ecr 0,nop,wscale 7], length 0
17:50:37.933830 IP YYY.YYY.YYY.254.36535 > www.yet-another-world.jp.http: Flags [S], seq 2816240399, win 5840, options [mss 1414,sackOK,TS val 3107764093 ecr 0,nop,wscale 7], length 0
17:50:38.019773 IP YYY.YYY.YYY.251.59846 > www.yet-another-world.jp.http: Flags [S], seq 3943735479, win 5840, options [mss 1414,sackOK,TS val 3107764094 ecr 0,nop,wscale 7], length 0
17:50:52.221834 IP XXX.XXX.XXX.197.33121 > www.yet-another-world.jp.http: Flags [S], seq 780497650, win 5840, options [mss 1414,sackOK,TS val 3107778368 ecr 0,nop,wscale 7], length 0
17:50:52.222416 IP YYY.YYY.YYY.254.32617 > www.yet-another-world.jp.http: Flags [S], seq 1913758381, win 5840, options [mss 1414,sackOK,TS val 3107778368 ecr 0,nop,wscale 7], length 0
17:50:52.297975 IP XXX.XXX.XXX.195.18811 > www.yet-another-world.jp.http: Flags [S], seq 4064625666, win 5840, options [mss 1414,sackOK,TS val 3107778368 ecr 0,nop,wscale 7], length 0
17:50:55.224160 IP XXX.XXX.XXX.197.33121 > www.yet-another-world.jp.http: Flags [S], seq 780497650, win 5840, options [mss 1414,sackOK,TS val 3107781368 ecr 0,nop,wscale 7], length 0
17:50:55.224740 IP YYY.YYY.YYY.254.32617 > www.yet-another-world.jp.http: Flags [S], seq 1913758381, win 5840, options [mss 1414,sackOK,TS val 3107781368 ecr 0,nop,wscale 7], length 0
17:50:55.281786 IP XXX.XXX.XXX.195.18811 > www.yet-another-world.jp.http: Flags [S], seq 4064625666, win 5840, options [mss 1414,sackOK,TS val 3107781368 ecr 0,nop,wscale 7], length 0
17:51:01.215081 IP XXX.XXX.XXX.197.33121 > www.yet-another-world.jp.http: Flags [S], seq 780497650, win 5840, options [mss 1414,sackOK,TS val 3107787368 ecr 0,nop,wscale 7], length 0
17:51:01.215658 IP YYY.YYY.YYY.254.32617 > www.yet-another-world.jp.http: Flags [S], seq 1913758381, win 5840, options [mss 1414,sackOK,TS val 3107787368 ecr 0,nop,wscale 7], length 0
17:51:01.270561 IP XXX.XXX.XXX.195.18811 > www.yet-another-world.jp.http: Flags [S], seq 4064625666, win 5840, options [mss 1414,sackOK,TS val 3107787368 ecr 0,nop,wscale 7], length 0
17:51:16.711444 IP YYY.YYY.YYY.253.51768 > www.yet-another-world.jp.http: Flags [S], seq 3986689040, win 5840, options [mss 1414,sackOK,TS val 3107802895 ecr 0,nop,wscale 7], length 0
17:51:16.724150 IP YYY.YYY.YYY.253.51053 > www.yet-another-world.jp.http: Flags [S], seq 156159522, win 5840, options [mss 1414,sackOK,TS val 3107802908 ecr 0,nop,wscale 7], length 0
17:51:19.709377 IP YYY.YYY.YYY.253.51768 > www.yet-another-world.jp.http: Flags [S], seq 3986689040, win 5840, options [mss 1414,sackOK,TS val 3107805895 ecr 0,nop,wscale 7], length 0
17:51:25.719377 IP YYY.YYY.YYY.253.51768 > www.yet-another-world.jp.http: Flags [S], seq 3986689040, win 5840, options [mss 1414,sackOK,TS val 3107811895 ecr 0,nop,wscale 7], length 0
17:51:25.731864 IP YYY.YYY.YYY.253.51053 > www.yet-another-world.jp.http: Flags [S], seq 156159522, win 5840, options [mss 1414,sackOK,TS val 3107811908 ecr 0,nop,wscale 7], length 0
17:51:40.291081 IP XXX.XXX.XXX.198.42042 > www.yet-another-world.jp.http: Flags [S], seq 408652217, win 5840, options [mss 1414,sackOK,TS val 3107826451 ecr 0,nop,wscale 7], length 0
17:51:40.394600 IP XXX.XXX.XXX.195.36872 > www.yet-another-world.jp.http: Flags [S], seq 2416484271, win 5840, options [mss 1414,sackOK,TS val 3107826452 ecr 0,nop,wscale 7], length 0
17:51:43.291114 IP XXX.XXX.XXX.198.42042 > www.yet-another-world.jp.http: Flags [S], seq 408652217, win 5840, options [mss 1414,sackOK,TS val 3107829451 ecr 0,nop,wscale 7], length 0
17:51:43.395736 IP XXX.XXX.XXX.195.36872 > www.yet-another-world.jp.http: Flags [S], seq 2416484271, win 5840, options [mss 1414,sackOK,TS val 3107829452 ecr 0,nop,wscale 7], length 0
17:51:49.291753 IP XXX.XXX.XXX.198.42042 > www.yet-another-world.jp.http: Flags [S], seq 408652217, win 5840, options [mss 1414,sackOK,TS val 3107835451 ecr 0,nop,wscale 7], length 0
17:51:49.412701 IP XXX.XXX.XXX.195.36872 > www.yet-another-world.jp.http: Flags [S], seq 2416484271, win 5840, options [mss 1414,sackOK,TS val 3107835452 ecr 0,nop,wscale 7], length 0
17:53:48.949628 IP YYY.YYY.YYY.225.64464 > www.yet-another-world.jp.http: Flags [S], seq 3227601749, win 5840, options [mss 1414,sackOK,TS val 3106630723 ecr 0,nop,wscale 7], length 0
17:53:51.955147 IP YYY.YYY.YYY.225.64464 > www.yet-another-world.jp.http: Flags [S], seq 3227601749, win 5840, options [mss 1414,sackOK,TS val 3106633723 ecr 0,nop,wscale 7], length 0
17:53:57.944256 IP YYY.YYY.YYY.225.64464 > www.yet-another-world.jp.http: Flags [S], seq 3227601749, win 5840, options [mss 1414,sackOK,TS val 3106639723 ecr 0,nop,wscale 7], length 0
17:56:55.389229 IP XXX.XXX.XXX.239.26606 > www.yet-another-world.jp.http: Flags [S], seq 1910939701, win 5840, options [mss 1414,sackOK,TS val 3107659822 ecr 0,nop,wscale 7], length 0
17:56:58.390876 IP XXX.XXX.XXX.239.26606 > www.yet-another-world.jp.http: Flags [S], seq 1910939701, win 5840, options [mss 1414,sackOK,TS val 3107662822 ecr 0,nop,wscale 7], length 0
17:57:04.381205 IP XXX.XXX.XXX.239.26606 > www.yet-another-world.jp.http: Flags [S], seq 1910939701, win 5840, options [mss 1414,sackOK,TS val 3107668822 ecr 0,nop,wscale 7], length 0
17:58:12.026979 IP YYY.YYY.YYY.226.48274 > www.yet-another-world.jp.http: Flags [S], seq 3200372275, win 5840, options [mss 1414,sackOK,TS val 3106893787 ecr 0,nop,wscale 7], length 0
17:58:15.046810 IP YYY.YYY.YYY.226.48274 > www.yet-another-world.jp.http: Flags [S], seq 3200372275, win 5840, options [mss 1414,sackOK,TS val 3106896787 ecr 0,nop,wscale 7], length 0
17:58:21.034143 IP YYY.YYY.YYY.226.48274 > www.yet-another-world.jp.http: Flags [S], seq 3200372275, win 5840, options [mss 1414,sackOK,TS val 3106902788 ecr 0,nop,wscale 7], length 0

こんな感じ。SYNパケットを送り付けてくるが、ACKを返さないのでこんなことになっている。しかし、アクセスは数秒に1回か、多くて1秒に数回なので、とりあえず様子見。抜き取られて困るような重要な情報はほとんどないのだが、踏み台にされると困る。

 

以前、自分が某研究機関でネットワーク管理の仕事をしていたとき、ときどき不正アクセスの被害を受けたサーバの解析の仕事がまわってきた。あるサーバは、どこかのアジアの国からの「古典的な攻撃」を受けて侵入を許し、オーストラリアの銀行のフィッシングサイトが作られかけていた。確認した限りでは実害は出ていないようだったが、それは、まだフィッシングサイトが完成するより前に、サーバの管理者が異常に気づいてネットワークから切り離し、うちに持ち込んだからである。日頃の監視は非常に重要である。

 

技術の進歩とともに、新しい仕組みが生まれれば、また新しい脆弱性も生まれていく。イタチごっこではあるが、それに食らいついていくしかない。一番のセキュリティーホールは、日本人のセキュリティに対する意識の低さだろう。各省庁のWebサイトなんぞ、何回改ざんされたら気が済むのだろうか。


コメントする

メールアドレスは公開されません

*は必須項目です