Phenixサーバクラックまとめ.

Slides:

Advertisements

Similar presentations

１．これだけは入れとけ！便利な gem ２．こう記述しろ！設定ファイル３．意外と知らない？注意点.

Advertisements

メール配送システムと 2012 年度 EPMail サーバの現状 2013/02/08 三上峻 0/43.

UNIX(Linux) サーバ学術情報基盤センター下園幸一 2009/09/08.

九州工業大学大学院情報工学府情報創成工学専攻塩田裕司.  仮想マシン（ VM ）は必要なときだけ動かすことが多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.

Internet Explorer 障害解析最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの種類と、調査のための切り分け方法を紹介します！ (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.

PROCESS 14:一般情報(2) InstallShieldLecture

情報実験：ネットワークコンピューティング入門

SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL

（株）アライブネット RS事業部企画開発G 小田誠

Unix生活 Vol.1

2013年7月24日 NRO ユーザーズミーティング NRO 高橋茂

実習用サーバの利用開始手順 (Windowsの場合) TeraTerm Proをインストール公開鍵をメールで送付

社内システム進捗前回までの決定事項 →システムは「Scala PlayFramework2」で作成

WebDAVでOpenOffice.org の文章を共有する

UNIX Life KMSF M2 saburo.

.NETフレームワーク3.5インストールのお願い

TIES v8.5 TIES V8のインストール方法 TIES機能モジュールの利用方法目次

Webアクセシビリティ～新しいアクセシビリティの基準～

Zeusの動作解析 S08a1053 橋本　寛史.

第14回今日の目標 §４．３情報セキュリティー情報化社会の特徴を社会的な面から概観する情報に関わる危険の要因を示す

「RnR FixLinks Pro」解説（一般公開用・無償版）

バックドア(rootkit&rootshell) vs Tripwire

キャンパスクラウドによる実験環境の構築情報ネットワーク特論講義資料.

「コンピュータと情報システム」 07章インターネットとセキュリティ

ネットワークコミュニケーションよく使われるアプリケーションＤＮＳ 7/5/07.

「まめだくん Ver.1.0」特徴と利用方法.

Vulnerability of Cross-Site Scripting

仮想計算機を用いたファイルアクセス制御の二重化

OSが乗っ取られた場合にも機能するファイルアクセス制御システム

於：県立中村高等学校同朋学園本部事務局河邊憲二

保護と安全性.

Perlを用いた学内専用アップローダの作成

富士通 SS研究会 2000/11/15 KEK 高エネルギー加速器研究機構計算科学センター八代茂夫

第13回今日の目標 §４．３情報セキュリティー情報化社会の特徴を社会的な面から概観する情報に関わる危険の要因を示す

HTTPプロトコルとJSP (1) データベース論第3回.

利用者が守るセキュリティー（パスワードについて）

HTTPプロトコル J2EE I 第7回 /

2009/07/03 理学院宇宙理学専攻博士後期課程 1 年山下達也

サーバー立ち上げ記 2009/5/23

Linux リテラシ2006 第6回デーモン CIS RAT.

公開鍵認証方式の実習 TeraTermの場合

サンデーPonセットアップマニュアル <目次> 1.動作環境について 2.セットアップ作業 ①. ソースの設置

第8章 Web技術とセキュリティ　　岡本　好未.

SAccessor : デスクトップPCのための安全なファイルアクセス制御システム

Linux リテラシ 2006 第4回ネットワーク CIS RAT.

FreeBSDインストール 2002年4月10日.

九州大学キャンパスクラウド利用法情報ネットワーク特論講義資料.

ネットワークアプリケーションとセキュリティ

杉山耕一朗（北大理） 2009/02/06 epnetfan

SAccesor:デスクトップPCのための安全なファイルアクセス制御システム

セキュリティ（６） 05A2013 大川内　斉.

サイバーセキュリティバッファオーバフロー

インターネットにおける真にプライベートなネットワークの構築

キャンパスクラウドによる実験環境の構築情報ネットワーク特論講義資料.

Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.

gate-toroku-system のしくみ

Webプロキシ HTTP1.0 ヒント CS-B3　ネットワークプログラミング　＆情報科学科実験I.

公開鍵認証方式の実習 MacOS Xの場合.

A18 スパムサーバの調査～ボットを見抜けるか？～

北海道情報大学情報メディア学部情報メディア学科新井山ゼミ金子拓磨

InTriggerクラスタ環境の構築 i-explosion 支援班クラスタ環境の概要研究に使える「共有資源」を提供

仮想環境を用いた侵入検知システムの安全な構成法

gate登録システム：設計ポリシーから使い方まで

.NET Framework 3.5 インストールに関する注意点

SSH2の認証シーケンス(keyboard-interactive)

特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

gate-toroku-system のしくみ

Sftp の使い方牧之内研究室修士1年安部智貴 2004/04/13.

情報モラル０６情報セキュリティ.

ユーザ認証の盗聴 2002/9/10 峯肇史牧之内研究室「インターネット実習」Webページ

Presentation transcript:

Phenixサーバクラックまとめ

クラック前後に起きたこと -1- 2011.3.30 eximの脆弱性を狙って、パスワードが流出する・eximのバージョンを上げて対処　・sshdやsftpの書換が行われていた（2012.1に確認） 2011.4.?? ssh, scpが動作しない報告　・ssh, scpをインストールし直し、解決 2011.11.17 phenixマシンがパスワード認証へ移行 2011.12.17 パスワード認証の報告　・パスワード認証から鍵認証へ戻す 2011.12.27 パスワード認証へ再び戻っていた　・鍵認証へ戻す

クラック前後に起きたこと -2- 2012.1.3 sshの書換が行われる(2012.1.12に確認) 　・ログ（/var/log/secure）が消されていた 2012.1.5 sshの不具合　・OpenSSLの再インストールで解決 2012.1.12 メールサーバでMewの不具合の報告　・「incm」という実行ファイルが見つからないのが原因　　- パスの不具合が生じている　クラック時に、パスを変えられた可能性大

クラック前後に起きたこと -3- 2012.1.12 メールサーバでsshの不具合・phenixサーバとエラーの状況は一緒　　- メールサーバのログ（/var/log/secure）を確認し、クラック発覚 2012.1.25 phenixのMLが動作していない　・eximのバージョンが4.6に戻されていた　　- 最新バージョンのeximをインストールした

考えられる進入ルート -1- 1. パスワード認証期間中にログイン・sshやscpは問題ないが、sshdなどはすでに置き換わっ　　ていたと考えられるため、rootのパスワードも入手し　　ていたと思われる。 2. パスワードを平文で書いたファイルや秘密鍵のコピー　・root権限を持った状態で、秘密鍵などをコピーした　・phenixサーバでは秘密鍵やパスワードを平文で書いた　　ファイルをそのまま置いている人もいるらしい（ただ　　し話で聞いただけで、調査はしていない） 3. 秘密鍵を持った状態で、鍵認証中にログイン

考えられる進入ルート -2- 4. rootになる・rootのパスワードはすでに分かっている 5. ssh, scpの書換　・この2つのプログラムは、前に変更したものなので、　　使用頻度の高いsshとscpを改めて書き換えた可能性　　が高い 6. パスワードを入手し、書き換えたsshで進入 ※　コネクションを保ったままにした場合、秘密鍵がなく　　ても1の状態からログインし続けることが可能　　phenixサーバの再起動は行っていない

書き換えられたファイル -1- ・ssh、scp、sftp等のバイナリファイルが書き換えられた　　- グループ名がmailとなっていた（通常はroot）　　- シンボリックリンクを貼ってクラックするためのファイルを実行させようとしていた例 : /usr/local/bin/sshd -> /usr/local/bin/sshd2 　　　疑問点 : なぜ直接sshdを書き換えなかったのか？　　- 書き換えられた日は、2011.3.30でeximへの攻撃と一致するためeximに関しても再調査

書き換えられたファイル -2- ・書き換えられたsshdのバイナリを調査 - /etc/issue.tabにパスワードが平文で書かれたファ　　イルが作成されていた（現在は削除）　　- sshdのバイナリ内に、それらしき文字列が存在した・このファイルは調べてみると、誰でも簡単に入手できる

書き換えられたファイル -3- ・eximのバージョンが脆弱性のあるバージョンに書き換え　られていた　　- 情報不足のため、ルートは不明

eximへ攻撃された時のメール・eximへ攻撃された時のメールの内容（一部） - sshdに書かれていた文字列と一緒　　ていた可能性がある秘密鍵を公開鍵と一緒に置いている人もいたため、秘密鍵を入手された可能性がある

exim攻撃に使われたプログラム・eximへの攻撃に使われたと思われるプログラムをWeb上から入手できた。　から入手できた。　-> 「/」ディレクトリに、ファイル「tmp.l」が存在し、　　　内容が「ifconfig | grep inet」のものだった。　　　スクリプトを間違えて、「/tmp/.l」とするところ　　　を「/tmp.l」としてしまい、残ったのではないか。・eximへの攻撃に使われたと思われるプログラムをWeb上　から入手できた。　-> 「/」ディレクトリに、ファイル「tmp.l」が存在し、　　　内容が「ifconfig | grep inet」のものだった。　　　スクリプトを間違えて、「/tmp/.l」とするところ　　　を「/tmp.l」としてしまい、残ったのではないか。

phenixサーバでの対応 -1- ・不要なポートを閉じる　　- 22(ssh), 25(smtp), 80(http), 443(https), 2049(nfs) 以外全てのポートを閉じた。　　- 新たに閉じたポートは、111, 740, 754, 808, 8443 ・IP制限　　- 今後もIP制限を行うかは要検討　　- IP制限を行う利点は、今回のようにパスワードの認証に戻されたときに、保険となり、調査もしやすくなる・鍵認証　　- ユーザ名は判明しているため、今後も継続必須

phenixサーバでの対応 -2- ・パスワードの管理体制 - 以前のrootのパスワードを知る人が多すぎる可能であれば、管理者のみパスワードを知っているこ　　　とが望ましい　　- 秘密鍵、パスワードの取り扱いがよくない　　　秘密鍵やパスワードをサーバ上に置かない　　　置いたとしても、早めに削除する

参考・eximの脆弱性に関して http://scan.netsecurity.ne.jp/article/2011/01/19/26187.html