クラッキング(サイト攻撃)について
2011.02.25/Fri/18:45:25
ウェブサイトを運営していると、必ずやどこかから「攻撃」を受けることになります。Web サイトを安定運用するのは地味な仕事ですが、サイトが停止してしまったり、乗っ取られたり、重要情報を引きだされたりすることが無いよう、十分な防御と 注意をすることは、サイト管理者として重要なことです。
Refused incoming connections:
::ffff:123.108.255.206 (::ffff:123.108.255.206): 526 Time(s)
::ffff:124.6.152.19 (::ffff:124.6.152.19): 1 Time(s)
::ffff:217.172.182.29 (::ffff:217.172.182.29): 1 Time(s)
::ffff:85.217.190.69 (::ffff:85.217.190.69): 1 Time(s)
【phpMyAdmin】
特に多い攻撃パターンが Web サイトへの攻撃です。なぜ Web サイトへの攻撃が多いかというと、Web サイトは、インターネット上に公開するために存在するため、ウェブサイトに至るサーバーアクセスを遮断していないからです。
例えばブラウザー上からMySQL(データベースソフト)への操作を行える phpMyAdmin という便利なソフトがありますが、そのソフトを安易にインストールしているととんでもないことになります。
たとえば、下記はある日の web server への不正アクセス記録(一部)。
//PMA2005/scripts/setup.php: 1 Time(s)
//PhpBigDick/scripts/setup.php: 1 Time(s)
//admin/phpmyadmin/scripts/setup.php: 1 Time(s)
//admin/pma/scripts/setup.php: 1 Time(s)
//admin/scripts/setup.php: 1 Time(s)
//myadmin/scripts/setup.php: 1 Time(s)
//mysql-admin/scripts/setup.php: 1 Time(s)
//mysql/scripts/setup.php: 1 Time(s)
//mysqladmin/scripts/setup.php: 1 Time(s)
//mysqlmanager/scripts/setup.php: 1 Time(s)
//p/m/a/scripts/setup.php: 1 Time(s)
//php-my-admin/scripts/setup.php: 1 Time(s)
//php-myadmin/scripts/setup.php: 1 Time(s)
//phpMyAdmin-2.2.3/scripts/setup.php: 1 Time(s)
//phpMyAdmin-2.2.6/scripts/setup.php: 1 Time(s)
//phpMyAdmin-2.5.1/scripts/setup.php: 1 Time(s)
//phpMyAdmin-2.5.4/scripts/setup.php: 1 Time(s)
この phpMyAdmin にアクセスできるルートがないかどうか、しらみつぶしに調べています。したがって、この phpMyAdmin をインストールする場合は、決してマニュアル通りの位置と名前でインストールしてはいけません。
上級者は、ある程度まで侵入を許すサーバーを用意して、攻撃者をあえておびきいれるような罠を仕掛けています(ハニーポット)。これは、その攻撃への対処と攻撃時にサーバーを乗っ取られないようにするためのスキルがある上級者だけができる技なので、安易にまねをしないようにしましょう。
【telnet】
telnet(ポート23)はサーバーに対してリモートログインできるようにする仕組みです。これは絶対にインターネットで公開してはいけません。telnet はユーザー名とパスワードがインターネット上に暗号化されずに飛び交うため、インターネット上の通信を傍受できるクラッカーは、このやり取りが発生した瞬間にサーバーを乗っ取る仕組みを持っているかもしれません。
したがって、現在はやむを得ずリモートログインを行うために講じる仕組みは SSH です。
【SSH】
SSH は telnet に似たリモートログインのための仕組みですが、ユーザー名とパスワード、および接続後の通信を暗号化して、インターネット上の通信を取得するだけでは通信内容がわからないようにしているところが異なります。この SSH、メンテナンス用に限られたサーバーだけで許可しているのですが、本日、サーバーログをチェックしていると、以下のような攻撃の痕跡がありました。
Refused incoming connections:
::ffff:123.108.255.206 (::ffff:123.108.255.206): 526 Time(s)
::ffff:124.6.152.19 (::ffff:124.6.152.19): 1 Time(s)
::ffff:217.172.182.29 (::ffff:217.172.182.29): 1 Time(s)
::ffff:85.217.190.69 (::ffff:85.217.190.69): 1 Time(s)
2/24~2/25 の早朝にかけて、123.108.255.206 というサーバーから、懲りずに 526回も不正ログインしようとした痕跡です。
このサーバーでは不正なアクセスから防御するため、指定したサーバー以外からのアクセスを拒絶する設定が施されています。したがって、通常は拒絶された攻撃プログラムは次の獲物を求めて諦めるのですが、このプログラムは旧式なのか 526回も不正アクセスを試みています。
このような攻撃者は、裏側に「人間」がいる真性ハッカーではなく、自動的にじゅうたん爆撃をしている 攻撃ボットであることがわかります。しかも、この 526 回という数字により、この攻撃プログラムの質はきわめて低い古いものであることもわかります。なぜなら、この種の攻撃プログラムは時間当たりの成果が大事 であり、セキュリティレベルの高いサーバーに時間を取られるよりも、容易に破れる管理の悪いサーバーを数打った方が攻撃者の利益になるからです。
まっとう(?)な攻撃者は、自分の直属のサーバーを攻撃には使いません。123.108.255.206 というサーバーも、悪意を持った首謀者のサーバーではなく、悪意を持った者に乗っ取られてしまったかわいそうなサーバーで、それがまるでゾンビになったように攻撃を仕掛けている状況だと思います。したがって、この 123.108.255.206 のサーバーに敵対行動をしても意味がありません。せめてやれることは、ブロックレベルを高めるために、このサーバーをブラックリストに入れる程度です。
【攻撃に備えよう】
ともかくサーバーを公開したら必ず攻撃は来ます。独自サーバーを立てるのであれば、セキュリティ対策はしっかりとしておくべきで、その自信のない方は独自サーバーを立てないほうが安全です。吸血鬼に襲われ、自分のサーバーが攻撃する側に回って、他の人に迷惑をかけることになってしまいます。
【関連ページ】
SRT100で安全に自宅サーバーを公開する(サーバー構築編)
SRT100で安全に自宅サーバーを公開する(ネットワーク設計編)
TBS系テレビドラマ「ブラッディ・マンデイ」
phpMyAdmin に対する攻撃について
-----
最後までご覧いただきましてありがとうございました。
« その時、首都高全面閉鎖
16インチ小径ホイールに CATEYE のリフレクターを装着する(前輪編) »
この記事に対するコメント
go page top
トラックバック
トラックバックURL
→https://ace.reviewmagic.jp/tb.php/352-5847a0c0
この記事にトラックバックする(FC2ブログユーザー)
| h o m e |
