アカウント名:
パスワード:
うちはコンテナ隔離してるから大丈夫・・・ではなくて、外部からダウンロードしたJavaコードを実行されられるので、情報を盗まれなくても仮想通貨マイニングソフトウェアを動かされたり、DDoSのボットにされたりとなんでもござれの脆弱性。大変危険。外部に接続されているシステムで使用している場合は直ちに対処すべきだ。
サーバというのは外部からの通信は受けても、外部への通信はダメになっているものと思っていたが、そうでもないのだろうか。
LDAP はまだしも DNS すら通していないのは珍しいのでは
外部との通信が一切不可になってるのは珍しいからなー。ポートスキャンとか疎通確認も内側からできそうだし気付いたら関連会社のサーバを攻撃してましたなんてのもありそう。
DNSとかNTPとかは開けます。さらにセキュリティフィックスのダウンロードに支障がない程度には開けますよ。必要なケースではそれらに加えてLDAPも。
弊社のシステムは閉域網内にDNS/NTPサーバをわざわざ作っていてセキュリティフィックス用のマネージャー(プロキシ)も一台建てている。まさにこういうことを想定して外部との通信を極力排するためだったんだな。今やっと理解したよ。ありがとう、辞めた前任者の人。
プロキシのログ定期的に見てあげてね。見慣れないログがあったら、ヤラれた証拠なので。
本件は DNS のログも見ないと
マルウェアが外部と通信する隠れ蓑にしてたりするので、DNS監視は本件関係なくおススメ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
Anonymous Coward (スコア:0)
うちはコンテナ隔離してるから大丈夫・・・
ではなくて、外部からダウンロードしたJavaコードを実行されられるので、
情報を盗まれなくても仮想通貨マイニングソフトウェアを動かされたり、DDoSのボットにされたりと
なんでもござれの脆弱性。
大変危険。外部に接続されているシステムで使用している場合は直ちに対処すべきだ。
Re:Anonymous Coward (スコア:0)
サーバというのは外部からの通信は受けても、外部への通信はダメになっているものと思っていたが、そうでもないのだろうか。
Re:Anonymous Coward (スコア:1)
内から出る方はブラックリスト方式というか、デフォルトで全開放じゃね?
ntpとか、ソフトのインストールとかで穴開けるとか作業したことないし。
こういう事でもないと、大概は外固めときゃ問題ないしな。
Re: (スコア:0)
LDAP はまだしも DNS すら通していないのは珍しいのでは
Re: (スコア:0)
外部との通信が一切不可になってるのは珍しいからなー。
ポートスキャンとか疎通確認も内側からできそうだし気付いたら関連会社のサーバを攻撃してましたなんてのもありそう。
Re: (スコア:0)
DNSとかNTPとかは開けます。
さらにセキュリティフィックスのダウンロードに支障がない程度には開けますよ。
必要なケースではそれらに加えてLDAPも。
Re: (スコア:0)
弊社のシステムは閉域網内にDNS/NTPサーバをわざわざ作っていてセキュリティフィックス用のマネージャー
(プロキシ)も一台建てている。
まさにこういうことを想定して外部との通信を極力排するためだったんだな。今やっと理解したよ。
ありがとう、辞めた前任者の人。
Re: (スコア:0)
プロキシのログ定期的に見てあげてね。
見慣れないログがあったら、ヤラれた証拠なので。
Re: (スコア:0)
本件は DNS のログも見ないと
Re: (スコア:0)
マルウェアが外部と通信する隠れ蓑にしてたりするので、DNS監視は本件関係なくおススメ。