アカウント名:
パスワード:
そもそも、なぜNASがメールを送信(または中継)できたの?
NetGearとか実売1万ちょい(HDDレス)で、バリバリのARM Linuxが入ったNAS売ってます。SSHログインしたり、いろんなパッケージ入れたりできますよ。
ありうる答えは、「NASという名前がついている中身はLinuxマシンだったから」
NASだけじゃなく、ファイアウォールからDVDレコーダーから、ネットワーク機能を持つOSを一から作っているところはもう少数派で、たいていちょっと蓋を開けるとLinuxかBSDかなんです。当然のようにShellShockも食らうので、NASが乗っ取られる事件が続発して、NASが危ないから見直せという情報は耳にしていたはずなんですが…
メールを投げるのは単にテキストを送受信すればよいだけで、特別クライアントは要りません。BASHが既にネットワーク機能を持っていて、/dev/tcp/IPaddress/25にリダイレクトするだけでよいので、BASHが入っているだけでもうメールは送り放題です。
たとえばこういう [synology.com]NASだったんでしょうかね。NASにどうしてSMTPサーバー機能がついているのかは不明ですが。
リンク先の「アプリケーション」を見ると、やたら何とかサーバーの機能があるっぽい。白物家電などでも、よくわかってない人ほどやたらオマケ機能がついてるものを買いたがるよね。。
エラーとか警告とか、メール通知機能は普通に利用しますよね?
中継を止めてないのは不手際だとは思いますが。
デフォルトの設定が安全側でなく何でもアリ側に振られているからでしょうね。そうでないとマニュアルすら読まないユーザーからの問い合わせで、コールセンターが悲鳴をあげるから。
メールでエラーを飛ばす機能が付いているNASは、SMTPが有効だったりしてびっくりします。
最近のNASはサーバと考えないと駄目ですよ。Webサーバは当たり前で、仮想マシンまで搭載しているのもありますし。glibcの影響ももろに…
~仮想マシンまで搭載しているのもありますし。
最近のセキュリティソフトは仮想マシンと言うかサンドボックスというか、疑わしいコードをチェックするための込み入った仕掛けが盛ってあって、逆にその部分に脆弱性があって攻撃されると危ないんじゃないかという話を思い出した
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
NASでメール送信? (スコア:2)
そもそも、なぜNASがメールを送信(または中継)できたの?
Re:NASでメール送信? (スコア:1)
NetGearとか実売1万ちょい(HDDレス)で、バリバリのARM Linuxが入った
NAS売ってます。SSHログインしたり、いろんなパッケージ入れたりできますよ。
Re: (スコア:0)
ありうる答えは、「NASという名前がついている中身はLinuxマシンだったから」
Re:NASでメール送信? (スコア:1)
NASだけじゃなく、ファイアウォールからDVDレコーダーから、ネットワーク機能を持つOSを一から作っているところはもう少数派で、たいていちょっと蓋を開けるとLinuxかBSDかなんです。当然のようにShellShockも食らうので、NASが乗っ取られる事件が続発して、NASが危ないから見直せという情報は耳にしていたはずなんですが…
メールを投げるのは単にテキストを送受信すればよいだけで、特別クライアントは要りません。BASHが既にネットワーク機能を持っていて、/dev/tcp/IPaddress/25にリダイレクトするだけでよいので、BASHが入っているだけでもうメールは送り放題です。
Re: (スコア:0)
たとえばこういう [synology.com]NASだったんでしょうかね。
NASにどうしてSMTPサーバー機能がついているのかは不明ですが。
リンク先の「アプリケーション」を見ると、やたら何とかサーバーの機能があるっぽい。
白物家電などでも、よくわかってない人ほどやたらオマケ機能がついてるものを買いたがるよね。。
Re: (スコア:0)
エラーとか警告とか、メール通知機能は普通に利用しますよね?
中継を止めてないのは不手際だとは思いますが。
Re: (スコア:0)
中継を止めてないのは不手際だとは思いますが。
デフォルトの設定が安全側でなく何でもアリ側に振られているからでしょうね。
そうでないとマニュアルすら読まないユーザーからの問い合わせで、コールセンターが悲鳴をあげるから。
Re: (スコア:0)
メールでエラーを飛ばす機能が付いているNASは、SMTPが有効だったりしてびっくりします。
Re: (スコア:0)
最近のNASはサーバと考えないと駄目ですよ。
Webサーバは当たり前で、仮想マシンまで搭載しているのもありますし。
glibcの影響ももろに…
Re: (スコア:0)
~仮想マシンまで搭載しているのもありますし。
最近のセキュリティソフトは仮想マシンと言うかサンドボックスというか、疑わしいコードをチェックするための込み入った仕掛けが盛ってあって、逆にその部分に脆弱性があって攻撃されると危ないんじゃないかという話を思い出した