クラッカーとの戦い方(Web経由編)

こんにちは。障害対応のときはアドレナリンが出て、
ちょっと楽しくなっていることはないしょな ai です。

 

さて、前回に引き続きサーバ攻撃系のお話をしたいと思います。
今回は、メールアカウントの不正利用の次に多いWeb経由の攻撃についてです。

よくあるケースは、以下の2点です。
・Web経由で不正メール送信
・Web改ざん
(WordPressやjava、MTなどの脆弱性をついて、意図しないページに書き換えられたりする)

攻撃のイメージとしては、こんなかんじです。

■メールを送信されるケース

Untitled

 

■Webサイト改ざん

Untitled (1)
早速、不正なプログラムを置かれて、別のメール送信されているサーバのログをみてみましょう。
※メールアカウントのパスワード奪取はされていない前提です。

(1)mailq の状態

メールを送ろうとして拒否されているのがわかります

(2)netstatの状態

アメリカのIP(68.180.224.228)からWEBへアクセスがあり、ベトナムのIP(1.55.21.14)へメール送信しようとしてます

こんな風になってしまってたら….
まずは、入り口を特定して防ぎましょう。

調査のコツは、ログからヒントを得ることです。

(1) メールログをみる

メールが送れていないため、メールログになにかヒントがあるはずです。
まずはそこからみてみます。

どうやらメールははじかれてしまったようです。
ここでの注目点は、uid=10047
ユーザがメールを送るのはなにか違和感を感じます。

(2) /etc/passwd を確認

uidで確認すると、とあるユーザでメールをおくっていることがわかります。

(3) apacheのログを参照

aaa_comユーザの操作できる領域は、/var/www/vhosts/aaa.com 以下です。
つまり、上記ディレクトリ以下になにかヒントがあるはずです。

メール送信時間帯に logo.php にしつこくアクセスし、なにかPOSTしてます。

(4) なにか不審なファイルがないか確認

ドキュメントルート以下になにか設置されていないかを確認します。
findコマンドを駆使し、発見したのがこれ。
ディレクトリもあやしいですし、中身をみると怪しげなスクリプトが!!!

ストーリーとしては、WordPressの脆弱性をつかれてファイル設置が成功し、Webからlogo.phpをキックし、外部にメールを送信していたようです。

なんだか謎解きみたいでテンションがあがってしまう気持ちを共有できたでしょうか?笑

対処方法としては、ファイルがアクセスできないようにするためにパーミッションを000にしたり、不要ファイルを削除したりして対応をしてください。

WordPressはとても便利ですが、脆弱性の宝庫でもあるので、
常に最新版にアップデートすることもそうですが、導入したプラグインは特に気をつけて情報をキャッチすることが大切だと思います。

 

それではまた次回!

Share on LinkedIn
LINEで送る
Pocket

ai

ai

パン作りと旅行が趣味のクララ運用担当です。 こうみえても黒い画面はお友達ですが、 インフラエンジニアぽくない路線を目指してます。