2014年05月05日(月) - 22:21 | カテゴリ:
Network
先日、A氏から『nowskyさんのブログスゲー』という事実とは真逆の感想を戴いてしまったので、
“スゲー”にちょっとでも近づく為に真面目な記事を―――
…A氏よ。こんなエ○ゲブログを凄いと思っちゃアカンぜよ。でも、お言葉ありがとうございます。
………
4月第二週目あたりから、SSHブルートフォースアタック(以下SSHアタック)が頻繁に来るようになった。
以前からそれ用の対策として、既存のスクリプトと自作スクリプトでの防衛は行っていた。
まぁ、『SSHのポートを開けるなよ!!』というのは至極ごもっともなのだが、
如何せんコチトラ外からSSHに接続出来る事が必要な環境な為開けてあったりする。
と言っても、GlobalSrcIPとかプロバイダの制限はしちょるが(´・ω・`)
で、先の通りSSHアタックされるとされた側にはバッチリログが残るという。
そのログにはアタックしてきたGlobalIPとアタックに使用したユーザー名が載っていたり。
という事で、今回はそのSSHアタック時に記録されたユーザー名を過去2年分公開しようと思う。
―――これで、世のサーバセキュリティが少しでも上がってくれれば良い淡い期待を胸に。
何故公開に至ったかと言うと、
1). A氏の感想からチョットでも真面目な事を書きたかった
2). “最悪なパスワード”は有名だけど“最悪なユーザー名”はあまりランクアップされない
3). これしか書く事なかった(´・ω:;.:…
という事から。
※ このページをソースにして、機械式SSHアタックされても困るので伏せ字&画像多用
本題の、二桁以上の回数をSSHアタックされた同一ユーザー名リスト
よくSSHアタックされるユーザー名はr○○tが断トツに多かった。
次に多いのは○racle。多分、データベースのデフォルトユーザー名を突く為にやっているのだろう。
次にaとかtestとか簡単な物。これも、一時的に作成したテストユーザーを突く為かと。
他にはa○minとかnagi○sとかg○tとか、どれもこれもデフォルトユーザー名を突こうとしている。
特にa○minは、ルータとかスイッチとかアプライアンスとかでデフォルト使用されているユーザー名だったり。
“鯖落とすなら、ついでにNWも”という魂胆なのかもしれないが、
昔から”危ない”と言われていたユーザー名を片っ端からクローリングしているのには驚いた。
後は、Linuxのデフォルトで入っているであろうユーザー名とか、
有名処のソフトウェア名をそのままとか、エトセトラ…
それらを踏まえつつも、傾向としてわかったのは
“一度でもアタックに失敗したGlobalIPからは二度とSSHアタックが来なかった”という事。
当たり前っちゃ当たり前だが、だからこそGlobalIP単独での遮断は難しいという現状。
まぁ~、外からSSHで自鯖にログインするのは日本の限られたGlobalIPからだろうし、
鯖管理者各々が把握している筈。
なので、現実にはそれらのアクセス制限をかけつつ、
ユーザー名・パスワードを複雑化しておく事が有効なのだろう。
ともあれ、今回のログ調査でわかったのは”サーバユーザ名に簡単な物は使うな!”という、
基本でありながら疎かにしがちな事だった。
………
ちなみに、SSHアタックで仕掛けてきたユーザー名の2年分ログ(csv)はコチラ
これを元に、自宅サーバのセキュリティ対策に役立てて頂ければ幸いです。
« 続きを隠す
2014年04月26日(土) - 19:49 | カテゴリ:
自作PC
某日―――
R氏『nowskyさん。折角だから、CMのレビューに応募しません?』
自分「( ´゚д゚`)エー 面倒なのはいいや…」
R氏『いや、URL貼っ付けるだけですよ』
自分「なら考えよう」
という事で、応募したら、
"当選者発表"のページに光るnowskyの文字
という事で、CoolerMasterのレビューキャンペーンに当選していましたとさ(゚∀゚)
CoolerMaster製品は、自分の自作PC史を語る上では必ず出てくるレベルで
お世話になっているパーツメーカー。
というのも、自宅機だと全部CoolerMasterケースで統一(鯖も)。
そして、物によってはCPUクーラーがCM製な物も。
そういう事で、日頃からCM製品のレビューとかよく書いていたり。
直近だと、Silencio 652あたりとか。
なので、その内の一つから一番アクセス数が高い+自分でも『良く書けたな』と思った物で応募してみました。
………
その結果、まさかの当選という快挙。そして、その通知で届いたのが以下の手紙。
ホント、当たる時は当たるんだな…
後は、この景品を使ってPCケースを買うまでが流れか(`・ω・´)
直近だと、自鯖2号機の計画があるのでソレのPCケースで買うことになりそう。
…でも、QUOカード使えるPCパーツ屋なんてあるのだろうか(´・ω・`)
どちらにしろ、CoolerMaster様今回はありがとうございました。大事に使わせて頂きます。
« 続きを隠す
2014年04月18日(金) - 23:02 | カテゴリ:
Linux
朝っぱらのニュースとかで報道されていたので知っている人もいるだろうが、
この脆弱性発覚によって、今週は地獄を見たインフラ屋が多かった事だろう(´・ω:;.:…
今回の脆弱性をPCに疎い人にでもわかるように書くなら、
『キャッシュカードと暗証番号のヒント(『1+1=2が暗号になっちょるよ!』レベル)を
自宅のポストの中に入れておいた』
というような感じかと。
つまり、『やろうと思えばキャッシュカードを利用出来る状態』になっていたのが今回の脆弱性。
PCに詳しい人向けの解説なら、DeNAが公開している記事がわかりやすくて、
概要も把握出来るのでオススメ。
DeNA : 巷を賑わすHeartbleedの脆弱性とは?!
…自分の場合、公になる前に今回の脆弱性を知る事が出来たので早くから対応に動けたのだが、
今回のは対策打つのも凄~~~く大変だった(´・ω・`)
まず、影響範囲が大きすぎた。
OpenSSLを利用しているのは、サーバサイドだと証明書,https,VPN,etc…と色々あるのだが、
今回のは一部クライアントソフトにも影響が出たのが一つの理由。
クライアントの大御所だと、OpenVPNとかWinSCP(FTPS)が対象に。
また、一部の商用ソフトウェアでも影響が判明してきた模様。
注:今は修正版がアップされている
NW分野だと、Cisco(IOS XE)の大御所からBIG-IP等のUNIXベースまで幅広く脆弱性対象に。
それら全てに対処していくのは骨が折れた。
そんな今回の脆弱性だが、殆どの場合でBugFixが出ているので今だったら、
ソフトのアップロードをして対応すれば良いかと。
RedHat系統なら『yum update』した後に対象サービスをリスタート。
OpenSUSEなら『zypper update』、Debianなら『apt-get update』とか、
それぞれのディストリビューションに合致した方法でアップロードを。
が、問題なのが"make等で独自ビルドしたミドルウェア"の存在。
自分の環境にも数台あるのだが、OpenSSLに紐付いているのが多すぎるので、
結局殆どをリビルドする様な自体に…
OpenSSLだけアップデートすれば良いようなアナウンスもあるのだが、
事が事なのでちゃんと対処をしないと後々ブーメランしそうなので。
で、ここからが脇に逸れた話になるのだが『今回の脆弱性って本当にヤバいの?』という声がチラホラ。
という事で、自実験環境でレッツトライしてみた所、
自分みたいなアホでもhttpsのセッションIDを取る事は可能だった。
…やり方の紹介はアレなので勘弁してね。わかる人なら、↑のブログ記事を見ればなんとなく把握出来るかと。
TCP/IPの事を囓ってないと出来ないレベルではあるが、その程度のレベルで出来てしまうのがアカン。
というのも、ここまで簡単だとスクリプトキディが横行しそうなのが。
ガチの自宅鯖運営者とかなら多重FW+IDS位は構築していそうだけど、
今回のOpenSSL脆弱性はそれすらも通過する可能性があるわけで…
『一つの暗号処理(ライブラリ)に依存するとこうなるのか~』と身に染みた一週間でした(´;ω;`)
« 続きを隠す