« RSSのアイコン | メイン | 今日から2月 »

2005年1月31日

サーバの設定ミス

カテゴリー: [Linux]

MySQLを標的にする worm が出現したという記事が出ているのを見つけたところから,話は始まります.

ITmedia エンタープライズ:MySQLを標的にするワームが出現――米セキュリティ組織が警告

研究でMySQLはよく使うので,ちょっと気になったのですが,研究用のLinuxサーバは,用のあるポート以外は iptables で遮断しているので,まあ大丈夫だろうと思っていました.
ただ,私の管理でないサーバでも,MySQLを使っているものがあったことに思い当たり,そのサーバにも,念のため iptabels の設定をしておこうと思いました.
それで,自分のサーバの設定を写せばいいかと思ったのですが...

iptables -L -n -v してみたら,ルールが空っぽ(笑)

各サービスにセキュリティ上の問題が無ければ,別に iptables を設定していなくても問題ないのです.
しかし,人間というのはミスをするので,用のないポートは遮断していたのですが,iptables の設定そのものをミスって,遮断しているからいいやと油断していては,しゃれになっていません(笑)
MySQLに外部から接続するときは,パスワードを要求する設定にしてあったですが,まともなパスワードだった記憶がない^^;

そのサーバは,年末にハードウェアごとリプレイスしたものですが,そのとき iptables を設定した覚えはあります.iptables の設定は,再起動時に再現できるように,ファイルに落としておかないといけないのですが,どうやら保存し忘れていたようです.
開けっ放しになっていたかもしれないと思うと,ちょっとぞっとします.

実は,数ヶ月前,クラッキングされて完全に乗っ取られたサーバを復旧する機会(?)がありました.断っておきますが,入られたのは私のせいじゃありません(笑)
今まで実物は見たことがなかったんですが,悲惨なものです.

rootkit を入れられ,バックドアとして sshd が動いていました.当然,主要コマンドも改竄されていました.しかも,改竄されたコマンドには,実行されると修復されたファイルを改竄し直す罠が仕掛けられいたようで,コマンドを入れ直したつもりでも,残りかすが残っていると,いつの間にかまた戻っています.
また,一部の改竄された設定ファイルには,ext2 の書込禁止属性が付けられていました.
どこに何が残っているのか分かったものではないので,ルートパーティションを全部消して,入れ直しました.

loggerも改竄されていて,まともなログが残っていませんでしたが,下手なやり方だったのか,ログが消えすぎていて,ほとんど何も残っていなかったため,異常を察知できました.また,ls コマンドもファイルの種類ごとに色分けされる設定になっていたはずが,機能しなくなっていたので,違和感を感じ異常に気づくきっかけになりました.
でも,もっと「うまい」クラッカー相手だったら,気づきさえしなかった可能性もあります.

本当はポートを閉じたって意味ありません.そういう意味で「ファイアウォール」というのは,よく誤解されます.
とにかく,「いらないサービスははずす」,「セキュリティ・パッチを当てる」だけですね.
それでも,「ゼロデイ アタック」 が起こりうるわけで,入られるときには入られます.
継続的に監視をし,セキュリティ情報に聞き耳を立てているしかないですね.

追記:
このMySQLをねらったwormは,Windowsでしか動作しないようです.ちょっと早とちりでした.

投稿者 shingo : 2005年1月31日 03:04

トラックバック

このエントリーのトラックバックURL:
http://isolinear.info/cgi-bin/mt/mt-tb.cgi/33

コメント

コメントしてください

コメントスパム等の対策のために,大量のURLを含むコメント,古いエントリーに対するコメント,連続したコメントなどは,一旦保留されます.




保存しますか?