サーバセキュリティについて質問です。


クライアントから以下の相談を受けています。
さくらインターネットの専用サーバ(FreeBSD)で運用していますが、
下記の不正パケットが頻発している為、
サーバ(さくらインターネット)からの退去を勧告されています。
(IP番号は ○:自サーバのIP、△:宛先不明な他サーバ で伏せています。)

19:02:30.000000 IP ○.○.○.○.35457 > △.△.△.△.13324: UDP,length 1

尚、以前にも同様の症状があった為、一度OSの再起動をしています。

処々対応しなければいけないとは思いますが、
.35457 等のIP番号の後ろに付く数字の意味が不明です。
これはログによって番号が変わっています。

ポート番号ではなさそうなので。。。お分かりの方ご教授下さい。
またトラブルTipsも受付します。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2008/08/25 11:44:54
  • 終了:2008/08/26 00:03:37

回答(3件)

id:zzz_1980 No.1

zzz_1980回答回数492ベストアンサー獲得回数642008/08/25 12:56:28

ポイント27pt

その数字はポート番号ですよ。

○.○.○.○.35457 > △.△.△.△.13324 

のうち、35457 はサーバーから発信されているUDPパケットのポート番号、

13324は宛先のポート番号で、△.△.△.△の UDP PORT 13324番宛にサイズ1のUDPパケットが

飛んでいることを示しています。35457は発信側なのでその時点で使われていない任意のポート番号が

使われますので番号はかわります。

udp port 13324番はnetaudio(RTP)などで使われているようです。

△.△.△.△へのDOS(Denial of Service)攻撃をやっているから、退去勧告を受けたのでは。

不正アクセスされてDOS攻撃の踏み台になっている可能性が大きいですね。

ネットはすぐ切られても文句は言えません。そのサーバー上で運用しているアプリの総点検が必要です。

FreeBSDでも穴はありますので…

http://q.hatena.ne.jp

url はダミーです。

id:kou32rr

ありがとうございます。

2008/08/25 20:30:46
id:b-wind No.2

b-wind回答回数3344ベストアンサー獲得回数4402008/08/25 13:34:57

ポイント27pt

ポート番号ではなさそうなので。。。お分かりの方ご教授下さい。

出力は tcpdump のものでしょうか?

でしたら、その項目はポート番号です。

ログによって番号が変わるのは実際に変えているからでしょう。


これだけでは特定できかねますが、最近の攻撃方法として以下のようなものがあります。

JVNTA08-190B: 複数の DNS 実装にキャッシュポイズニングの脆弱性


またトラブルTipsも受付します

自サーバーから覚えのないパケットが出力されているようなので、侵入されたと思ってよいかと。

セキュリティ設定等いろいろなところは確認しないとだめですね。

id:pahoo No.3

pahoo回答回数5960ベストアンサー獲得回数6332008/08/25 13:44:45

ポイント26pt

ポート番号だと思います。

35457は一般的なポート番号ではないので、特殊なアプリが通信に使っているのではないでしょうか。


クライアントはファイアウォールまたはログ取得可能なルータを設置していますか? であれば、そのログを調査してください。

通信しているPCが特定できるなら、フローソフトの「ポートモニター」をインストールすれば、通信しているアプリを特定することができるでしょう。

  • id:bayan
    >19:02:30.000000 IP ○.○.○.○.35457 > △.△.△.△.13324: UDP,length 1
    これはtcpdump か何かの出力ですかね。
    35457 や 13324 はやっぱりポート番号だと思います。

    出所を突き止める必要がありますね。


    FreeBSD だと sockstat コマンドで通信を行っているコマンドや、ユーザを調べられるようです。
    http://x68000.q-e-d.net/~68user/unix/pickup?sockstat


    トロイの木馬などが仕込まれていれば chkrootkit で何か見つかるかもしれません。
    http://www.chkrootkit.org/

  • id:kou32rr
    ありがとうございます。
    sockstat でヒントらしいものがありました。
    chkrootkitでは何も検出されませんでしたが、
    既に感染していればそれもアテにならないですからね。

    ポイント購入しました。
    よろしければ上の解答欄にご記入下さい。
  • id:kou32rr
    いろいろ調べて、/tmp に udp.plとudp.tgzがあり、
    とあるユーザーがこれを実行していました。
    どうやらtelnetでログインしていたようなのでtelnetを殺そうとしたところ、
    telnetが見つかりません。 取り急ぎ、途中経過を書いてみました。
  • id:kou32rr
    レス付く前に自己レスです。
    telnetはinetd.confから設定無くすことで使えなくできました。
  • id:kou32rr
    とりあえずおかげさまで解決。。。したと思います。
    サーバ&アプリは見直さなければいけません。
    現在はtelnetもftpも停止している状態。もう尻拭いばっかり。。。

    教訓!(当たり前かもしれませんが。。。)
    ・他人(ホスティング会社)が設定したサーバは信用しない。
    ・目で見た設定ファイルの設定のみ信用する。
    ・SSHが使えるから、telnetは使用できないようにしてるでしょ?って思わない。
    ・分からないOS(FreeBSD)はやっぱり怖い。
    ・クライアントへのパスワード設定強化勧告すべし
    ・普通はメールユーザでFTP(telnet)できないようにしてるでしょ?って思わない。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません