先日とりあえず外部からの不審なアクセスと、外部への不明なアクセスをとめたサーバの蘇生とデータ移行を実施中。 何らかのワーム類にやられたことは間違いない。結果的にサーバ潰してフォーマットする運命になる予感はあるんだけど、かなり堅めに設定していたセキュリティのどこから進入したのか、調べようとしている。 そもそも検索してみると、今回の攻撃と類似の例があまり見当たらない。本当に困ったことであるが、ソフトの設定などは書けてもハッキングなどは恥ずかしいから書けない、というのがサイト運営者の本音なのではないだろうか?実際Linux関係のソフトの設定が掲げてあるサイトの1/3ぐらいはDIYな試行錯誤でやっている例が多く、ひどいものでは有名サイトの設定例をそのまま何も考えずにコピーしていたりする。まあ情報がないよりいいので一方的に非難できたものではないんだが、例えばqmailの設定などはユーザが多い割には、明快に、簡潔に、安全に解説できている例がそれほど多くない。 さて、話を今回の自分のサーバに戻す。 ご多分に漏れず現在の自分の状況は最悪だ。 ルータで外界とのアクセスを切っているから良いものの、ログを丹念に見ているとwww.wwe.comとかにアクセスしに行ったりしている。このサーバにも何かワームがいるのだろうか。 apacheのerror.logを見ていると、mod_mine_magicというモジュールの挙動が怪しい。またこのモジュールについての情報もほとんどない。 全然関係ないところで「アナハイムエレクトロニクス社」なんて怪しめなレンタルサーバサービスを発見してしまったりしたが(googleにmod_mine_magicを日本語で聞くと出てくる)。 http://www.anaheim-e.biz/index.html 午前中にwebminのアップデートをしていて気がついたことであるが、自動アップデートにちょっとでも漏れがあると、自動アップデートされない。そのために、セキュリティパッチ公開から反映までの間に時間があいてしまい、攻撃の対象になってしまう。例えば今回はPERLのAuthen:PAMが更新されていなかった。実際にはこのモジュールのアップデートにはソースが必要だった(パッケージがまだない)。さらにソースのビルドにはPAM-develなどが必要だったりする。ほんのひとつのモジュールが入っていなかったために自動アップデートしそびれてしまっていた。さらにwebminはメジャーアップデートで周辺の設計がずいぶんと変わっていたようで、また大量のアップデートが必要になっていた。 また面白い話であるが、xoopsのデータベース、セッション管理テーブルが1つ壊れていた。これは以前にも経験があったので、すぐに治せる。googleに聞いてみると、やはり自分のサイトが出てきた。しかもちょっと間違えていることを発見。しかし自分のサーバが壊れているので、すぐに修正しようというわけにはいかんのがつらいところ。 /etc/httpd/conf/httpd.confの最終更新には異常なし。 現在このサーバでは6つほどの仮想ドメインを運用しているのだが、本来アクセスされるはずのない親サイト(仮想ではないサイト)のアクセスがここ最近になってすごいことになってる。 8/18まで一日4件とかなのに、8/19から突然、1日7000件! 以下のサイトからのアクセスが上位である。 http://partners.mygeek.com/search.jsp http://shttp.msg.yahoo.com/notify/ http://www.abcsearch.com/cgi-bin/search/cobrand.fcgi http://purchase.tickets.com/buy/MLBEventInfo ※ちなみに、こいつらはすべて謎の挙動をするページばかり。 普通のブラウザでアクセスして何かに感染しても私は責任持ちませんのでご注意を。 そもそもこんなmygeek.comやyahoo.comなどといったサイトのサーバを引き受けたつもりはないのである。 つまり、何者かが勝手に…。 ログを詳細に読んでいくと、実際にはこれらのURLに加えて、まるで検索をしているように適当なキーワードを混ぜながら自サイトのIPアドレスを送っている。 アクセス元のIPを調べてみると、こちらもApacheの初期ページが表示される。つまり、アクセス元もこのワームかスパイウェアのような虫の感染者である。 この手のソフトはグレーネット(Greynet)と呼ばれるネットワークアプリケーションらしい。 http://www.shareedge.com/spywareguide/term_show.php?id=62 グレーというか、ほとんど暗黒魔術の世界である。ひきこまれてはいけない。 以下関連リソース。 chkrootkit(この作家はえらいと思う、検出はされなかったが) http://www.syssupo.co.jp/~net_hal/vine25_2v.html さらに言うとこのツールと名前そっくり http://www.chkrootkit.org/ nmap http://www.itmedia.co.jp/help/tips/linux/l0147.html lsof http://l5web.laser5.co.jp/rpm2html/6.4/lsof-4.47-2.i386.html Libsafe http://www.atmarkit.co.jp/fsecurity/rensai/iprotect03/iprotect02.html setguidなどされたプログラムはこのコマンドで検出できる /find / -type f ( -perm -u+s -o -perm -g+s ) -ls 結果的にはAtmarkITのこの記事が非常に役に立った http://www.atmarkit.co.jp/fsecurity/rensai/iprotect01/iprotect02.html chkrootkit0.45で調べたところ「LKM Trojan」の疑いがあるとのこと。 結局のところ決定打ではなかったが、相手がLKMではじたばたしても徒労に終わることが想像できる。 勉強にはなったのでそろそろあきらめてクリーンインストールにかかるかな…。