Ubuntuホスティングサーバの一部が乗っ取られ、攻撃の踏み台に 65
ストーリー by GetSet
お粗末 部門より
お粗末 部門より
掲載が遅くなって申し訳ないが、あるAnonymous Coward 曰く、
ITmediaの記事によると、去る8月6日、Canonicalが援助しているUbuntuのホスティングサーバが乗っ取られ、他のマシンの攻撃に使われていたという。8台のサーバのうち、5台をオフラインにせざるを得なかった、と記事は伝えている。サーバで使われていたOSなどのバージョンは古く、脆弱性を抱えたままであり、さらに世界中にいるメンバーが平文パスワードを用いてFTPアクセスをしていたらしく、root権限の奪取やパスワード漏えいの可能性もあるという。
一般に、Windowsよりも堅牢であると考えられているLinuxサーバで、しかもユーザから信頼されているコミュニティのサーバが、複数の脆弱性を抱えたままアップデートもできず、かつセキュリティに無頓着な運用をされていたことに驚きを隠せない人も多いのではないだろうか。
Windowsよりも堅牢? (スコア:5, すばらしい洞察)
そんなこと今時本気で思っているのは無能なマスゴミだけだろ。
堅牢か否かは運用耐性の問題であって、OSに依存する問題ではない。
Re:Windowsよりも堅牢? (スコア:0)
Re:Windowsよりも堅牢? (スコア:0, フレームのもと)
ハイ、LinuxがWindowsより堅牢なんて私はこれっぽちも思ってません。
WindowsがLinuxより堅牢とも思ってもいません。
「一般に」というのは、「Windowsよりも安全なLinuxを省庁が…」みたいな
NHKの報道にみられるような、わかってもいないのにいい加減なニュースを
流すマスコミと、それを信じてしまった素人の皆さんはもちろんのこと、
ここスラドにも多い「MS嫌いの余り目が曇って現実を見れない人」を含んで
書いております。
一言でいえば、皮肉です。
GetSet氏には、その気持ちを汲んでくださったのか、そのまま掲載いただきました。
感謝いたします。
Re:Windowsよりも堅牢? (スコア:0)
思っていたなら「一般的に…思われている」なんて書かずに
「Windowsより堅牢なLinuxが」と書きますよ。
以上。
Re:Windowsよりも堅牢? (スコア:0)
そんなことはありません。
現に、/.Jにもそのように思っている人はたくさんいます。
こういう時だけ、マスコミの責任にしないように。
Re:Windowsよりも堅牢? (スコア:0)
Linuxだからって (スコア:2, 興味深い)
管理側の問題だとおもいますが、OSSという責任と権限の所在の不明確になりやすい運用の弱さを露呈しているのかもしれませんね。
WebサーバといえばApacheでしたが、今やIISが超えるという話もあるような。
今は良いけど、Windows/IISのサーバーが5~6年運用されると・・・ガタガタブルブル・・・・
あ、そんな長期間運用は今の所無理か。
Re:Linuxだからって (スコア:1)
Netcraftの調査によると、IISの稼動率は上昇はしているようですが、 まだApacheを超えてはいないようです。
Re:Linuxだからって (スコア:1)
ITmediaの記事、なんかよくわからんなあ。というわけで以下を流し読みしました。
侵入されたのはUbuntuコミュニティのコンテンツをホスティングしていた、要するにブログやウィキなどを動かしていたサーバ。eWeekの記事からある「collocation」(コロケーション)というのは誤りで、「LoCo [ubuntu.com]」(Local Community、国・地域ごとのコミュニティ)の読み違えかと思います。
ITmediaの記事にあるBacon氏の発言「サーバはネットワークカードの問題、その後はカーネルの問題のためにアップグレードされていなかった。(後略)」は、原文の「breezy」が何を指すのか知らなかったのでしょうが、訳しきれていません。正しくは「サーバはBreezy Badger (Ubuntu 5.10) 以降アップグレードされてなかった。それより新しいカーネルでは(Canonicalから支援されたマシンの)ネットワークカードで問題があったため。」
で、導入されていたブログ・ウィキエンジンなどは、パッチがあたっていないどころかバージョンさえもよくわからんものが多数。つまり、コミュニティ向けにとCanonicalから提供されたマシンの上で、皆がそれぞれ適当に、好き勝手にやっておった、と。「必要なアップデートが出来ず」ではなく、「~を怠って」でしょうね。
で、Canonicalのデータセンターに移行すると管理の問題は解消されるけど、そうなったら今までのようにそれぞれが好き勝手に入れるわけにはいかず、さてどうしましょうか、MoinMoin使いたいんだけどなあ、とかいう話になっている。暢気やな。
CNETの記事ではCanonicalの弁明が伝えられています。マーケティングマネージャーGerry Carr氏は、今回問題となったサーバの責任の所在がCanonicalとコミュニティの間でどっちつかずになっていたことを認めつつも、ダウンロードされるUbuntuそのものへの懸念はまったくの的外れ、今回の侵入は別の場所の別のネットワークの別のサーバでの話であり、Canonicalのデータセンターでは起こり得ない、としています。また、LoCo移行先の決定はコミュニティに任せる、Canonicalのデータセンターに移るならこちらの厳格なセキュリティ・管理基準に従ってもらうことになる、とのこと。まあそう言うわな、ははは。
Re:Linuxだからって (スコア:0)
# マニュアルパッチはWeb鯖だけを管理じゃない人には無理ぽ
Re:Linuxだからって (スコア:1)
複数台で構成しているサーバなら1台毎にひにちをあければ、問題があっても全部には影響しないだろうし、
1台目がテスト用なら影響ださずに確認もできてよいかと。
結局は管理者の問題 (スコア:2, すばらしい洞察)
Re:結局は管理者の問題 (スコア:3, 興味深い)
Linuxの管理ができないLinuxディストリビュータが存在してた、と。
Re:結局は管理者の問題 (スコア:0)
何ヶ月も前からクラックされて乗っ取られてました
ぐらい間抜けなニュースだよね
誰がこんなアホベンダーの製品使うんだろ
おやくそく (スコア:1, おもしろおかしい)
当然 (スコア:2)
当たり前すぎてどうでもいいですね
Re:当然 (スコア:0)
そのへんの素人がやられてるのとは訳が違う。
#自分に都合の悪い事実から目を背けるのはヤメロ
Re:当然 (スコア:0)
Re:当然 (スコア:0)
今後の対策 (スコア:1, 興味深い)
Re:今後の対策 (スコア:3, 興味深い)
問題が解決するまでとりあえず止めちまえ、ってポリシーらしいです。
こういう時、Gentooや*BSDみたいなタイプは、大胆な対策がとれて楽ですね。
# でも、だからといって、Wikiや、MLのアーカイブ閲覧まで利用できなくなるってのは、なんだかな…
# 止められた一部のサーバを間接的に利用していた、公式以外の有志サイトまで巻き添え食って止まってるし orz
Re:今後の対策 (スコア:2)
Gentooや*BSDみたいなタイプというのは、Gentooというところから推測するに、何か問題が起きても自分でなんとかできる利用者が多いということですかね。*BSDの方はPC-BSDやDesktopBSDの登場で、最近はそうでも無くなって来ていると思いますよ。
そういえば、セキュリティ上の理由で*BSDの公式サイトなどが止まったことは寡聞にして聞かないですね。
Re:今後の対策 (スコア:1, 参考になる)
私の公式自宅サーバ(Linux)もセキュリティ上の理由で止まった事も今のところ無いのです。
だから強固。
んな訳が無い。
# sshのアタックも、WEBのアタックも、mailの踏み台チェックも、と言うぐらいは受けまくってます。
# sshで5000パスワード/時間のアタックを受けているのを見て、さすがに怖くなった。
# 発信元は国内からだった。そのサーバの所有会社に警告メールを送ったが返事なし。
# そのサーバが止まったわけでもない。
Re:今後の対策 (スコア:0)
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 30 --hitcount 1 --name ssh_attempt --rsource -j DROP
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name ssh_attempt
30秒に1回までしか、ポート22にアクセスできないようにすると、アタックはタイムアウトしたと思って、止まる。
Re:今後の対策 (スコア:0)
同様の記述がありました。指摘して頂き、ありがとうございます。
この自宅マシンは、sshのログを常時監視して、sshdのログにcrackerが好んでアクセスするuser名に
対するInvalid Userの記録を見つけ、速攻でiptalbes -j DROP を突っ込むスクリプトを作って
動かしています。
実際のところ、いくらAllowUsersで指定していないユーザはlogin出来ないはずと
思っていても、数千個ものInvalid User記録を見ると、感覚的には、
それなりに作られている、薄っぺらい壁の向うで、猛獣が暴れまわっている
と言った感じで、ゾーッとします。
Re:今後の対策 (スコア:1, 興味深い)
5年ほど前、こんな話がありました。
スラッシュドットジャパン | OpenSSHにトロイの木馬 [srad.jp]
Re:今後の対策 (スコア:0)
コミュニティもなにも関係ないと思うんだが。
自動でできるにも関わらずアップデートをサボる困ったユーザーを
どうにかするって言うなら見上げた志だけど。
まあ
>Canonicalが援助している
ていうのがどの程度まで援助だったかによって
Canonicalの企業イメージがダウンする可能性はあるな。
Re:今後の対策 (スコア:0)
関係ないと言うのはどのへんから出てきた話ですか?
この最初の一文からして、乗っ取りに気づいてオフラインにしたのはUbuntuコミュニティでしょ。
それとも他人が運営してるサーバを勝手にオフラインにするようなコミュニティなんですか?
Mac最強 (スコア:1, おもしろおかしい)
Linuxもこの体たらく。
その点、Macはウィルスに感染しないから最強。
面倒・・・ (スコア:0)
Re:面倒・・・ (スコア:2, おもしろおかしい)
Re:面倒・・・ (スコア:0)
Re:面倒・・・ (スコア:0)
# ubuntuってDebianの分派でしたよね? 確か。
Re:面倒・・・ (スコア:1)
# 希望モデ:無粋 -1
人人人 (スコア:0)
Re:人人人 (スコア:0)
駄目な人たちから提供されているのがUbuntuである。
よって…ということかい?
Re:人人人 (スコア:0)
セキュリティは鎖のメタファで説明してる。
一部を丈夫に作っても、他の弱いところで切れる。破られる。
弱いところがないか、従来は大丈夫だったところも新しい脅威に耐えられるかを常に気を配って対処していくのがセキュリティ管理なんだけど、これはかなりしんどい仕事です。
Zero Day Attack なんてのもあるし。
Re:人人人 (スコア:0)
Re:人人人 (スコア:1, 興味深い)
オレのような素人が鯖管させられてるわけだが、日々各種セキュリティ情報捕まえて、その手の情報を得るルートを維持して、いざとなったら停止かける権限ももらって、まわりに数人の交代要員を確保するぐらいしか思いつかんのだよ。
どうしたらいいんだろ?
Re:人人人 (スコア:0)
Re:人人人 (スコア:0)
ははっ、部門より
Re:人人人 (スコア:0)
いやマジで。専用レン鯖会社より下の管理しかできないなら外にぶん投げるべき。
「自社サーバ」というのは字面はよいが致命的な地雷抱えてるのだということを説明すべき。
Re:人人人 (スコア:0)
地雷が爆発した時の被害なんか最初から頭にありませんよ。
「あーん?あれだ、そんなのキミが片手間で頼むよ。
ウインドウズだと何か管理も簡単らしいじゃないか。
リナックス?あんなオタクの使う物はわからんからダメだ。
スラッシュ何とかってサイトにも書いてあったしな。」
Re:人人人 (スコア:0)
Re:人人人 (スコア:0)
Re:人人人 (スコア:0)
そんなおりに (スコア:0)
Re:そんなおりに (スコア:0)
Debianも過去にやられてますね。
以下、スラドの記事
Re:あほかコイツ<オフトピック-1000でもいいよ (スコア:0)
という部分を省いているのは意図的なんだろうか
それとも拙速なんだろうか
Re:あほかコイツ<オフトピック-1000でもいいよ (スコア:0)
> という部分を省いているのは
少なくとも今現在、
「一般に、Windowsよりも堅牢であると考えられて」ないよね?
その「一般」ってどの辺りを指してんの?
サーバを利用しているコミュニティがユーザから信頼されている事は、
なんか関係あるの?
これらを指摘しておいて指摘する意図を明確にしないのは何故?