アーカイブ

2014 年 12 月 10 日 のアーカイブ

サーバへの不正アクセス対策について

2014 年 12 月 10 日 Comments off

まだまだ弱小ブログの域を脱していないブログサーバですがこんなサーバでも不正アクセス、怪しいアクセスはあるようです。
以下、他のサーバにもアクセスがあった場合被害を被らないように実IPで紹介したいと思います。
これによってこのサーバに不正アクセスが多くなったら困りますが・・・

怪しいアクセス
まず一つ目、error_logの中に潜んでました。
こんなepgrecなんてファイルは、置いてないのでgoogleさんに聞いてみると
なにやらWebインターフェース上から番組の予約録画などが行えるPHPで書かれたものらしいです。
私のサーバでは、運用していないのですがどうもこのシステムが入っていると不正に侵入できる手口があるようです。
録画予約システムepgrecの作成者のページ

[Sun Dec 07 01:08:16 2014] [error] [client 199.241.144.251] File does not exist: /XXX/html/epgrec

IP Address 199.241.144.251
Host Name ProvidenceSamsung.dip.jp
Country United States
Network(ASN) ARIN-CIDR-BLOCK
IP Prefix 199.0.0.0 – 199.255.255.255
Description Not allocated by APNIC

他のサイトでも不正アクセスとして公開してました。

大体レンタルサーバだと直接confファイルは使えないので.htacceseなどのファイルに書いてる方が多いですが、私の場合直接httpd.confファイルの設定に書いていきます。

deny.confとして新規に作成してhttp.confと一緒に読み込ませます。
httpd.confに設定 221行目くらいの「 Include conf.d/*.conf 」がコメントアウトされていなければ使えます。
ディレクトリは、各自で読み替えてください。

<Directory "/var/www/html/*">
Order allow,deny
allow from all
deny from 199.241.144.251

これでhttpdの再起動でOK

# /etc/init.d/httpd reload

もう一つ、error_logを確認するとありました。

[Mon Nov 10 20:31:59 2014] [error] [client 69.174.245.163] File does not exist: /var/www/html/w00tw00t.at.blackhats.romanian.anti-sec:)
[Mon Nov 10 20:31:59 2014] [error] [client 69.174.245.163] File does not exist: /var/www/html/phpMyAdmin
[Mon Nov 10 20:31:59 2014] [error] [client 69.174.245.163] File does not exist: /var/www/html/phpmyadmin
[Mon Nov 10 20:32:00 2014] [error] [client 69.174.245.163] File does not exist: /var/www/html/pma
[Mon Nov 10 20:32:00 2014] [error] [client 69.174.245.163] File does not exist: /var/www/html/myadmin
[Mon Nov 10 20:32:00 2014] [error] [client 69.174.245.163] File does not exist: /var/www/html/MyAdmin

そんでその時間のaccese_logをみてみると

69.174.245.163 - - [10/Nov/2014:20:31:59 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 239 "-" "ZmEu"
69.174.245.163 - - [10/Nov/2014:20:31:59 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
69.174.245.163 - - [10/Nov/2014:20:31:59 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu"
69.174.245.163 - - [10/Nov/2014:20:32:00 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 219 "-" "ZmEu"
69.174.245.163 - - [10/Nov/2014:20:32:00 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"
69.174.245.163 - - [10/Nov/2014:20:32:00 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 223 "-" "ZmEu"

phpMyadminの脆弱性をついた不正アクセスです。
これは、古いバージョンのphpMyadminだとまずいようですね。
その辺は、こちらのphpMyAdminの脆弱性を狙った攻撃発生、ラックが注意喚起で確認してください。
phpMyAdmin 3.3.10.2よりも前のバージョンおよび同3.4.3.1よりも前にバージョンに脆弱性が存在するそうです。
しかし、この記事を見るとそれでもだめなようです。

もしバージョンを確認したいならphpmyadminにログインすると下記のようにバージョンが出ますので確認してください。
phpmyadmin

もしだれでもIP制限などをしていないサーバは、即座に乗っ取られてしまうので注意が必要です。
ちなみに私のphpmyadmin 古すぎるバージョンでした。(汗)
とりあえずこの記事を書いた後急いで最新バージョンにしました(^^;

とりあえずアクセスできるのは、自宅からのみとしているので大丈夫と思いますが・・・
そういう問題じゃないので早急に対処します。

ということでこのアクセスについても調べるまでもなくdenyするようにしました。
他のサイトでは、どのような手口でアクセスしてくるかとかいろいろと調べている方もいらっしゃいますがそこまでの技術は、持ち合わせていないので出来ませんが。
こちらのサイト ろば電子が詰まっているで紹介している不正アクセスでは、私のところに来たIPと同じです。

結構このIPアドレスの輩は、いろいろと脆弱性を狙ってきているようです。要注意ですね。

まだまだたくさん悪い人は、いると思いますが紹介はこれくらいで自分のツール類のバージョンを最新にする(安定している最新バージョン)ことを優先で行いたいと思います。

また、このようなツールなどは、自分自身しか使わないのでログインできるIPアドレスで制限しておくことがベストですね。