パスワードを忘れた? アカウント作成
11645382 story
セキュリティ

10000/TCPへのポートスキャンが増加、bashのShellshock脆弱性を狙う? 20

ストーリー by headless
増殖 部門より
hylom 曰く、

JPCERT/CCが、TCP 10000番ポートへのスキャンの増加に関する注意喚起を行っている。9月下旬からTCP 10000番ポートへのスキャンが増加しているとのことで、先日明らかになったbashの「Shellshock」脆弱性を狙った攻撃とみられる。

TCPの10000番ポートはWebminで使われることが多く、WebminはShellshock脆弱性の影響を受ける。標準インストールでWebminはroot権限で動作するため、脆弱性のあるbashとWebminの組み合わせが使われている場合、Webminの権限で任意のコードが実行できるという。対策としてはWebmimのアップデート(Webminでは9月29日にbashの脆弱性対策を行った1.7.10がリリースされている)やbashのアップデートが推奨されている。

なお、TCP 10000番ポートに対するスキャンを行ってきた送信元IPアドレスの中には、Webminが稼働するサーバーとみられるものがあるという。このことから、攻撃を受けたサーバーが第三者への攻撃の踏み台とされ、スキャン増加の原因になっているとも考えられるそうだ。JPCERT/CCでは、攻撃の踏み台にされているとみられるIPアドレスのネットワーク管理者に連絡を行っているとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Printable is bad. (38668) on 2014年10月11日 13時52分 (#2692157)

     Webmin は、Unix 系 OS のアプリケーションのテキストベースの「設定ファイル」(主にサーバ公開目的)を GUI から書き換えるアプリケーションですが、設定ファイルを直接書き換えるスキルが無い初心者にしか役に立たない代物です。VPN を借りてまずやることは、Webmin のアンインストールですね。

     勿論、Webmin は既存の設定ファイルの内容を上手に解析して上手く書き換えるよう最大限の努力をしていますが、比較的自由な書式・順番で記述できる設定ファイルを、人・プログラムの両方で書き換えるという仕組み自体に無理があります。

     デフォルトの設定ファイルを Webmin から書き換えるだけならまだ良いですが、自分で書き換えたファイルを Webmin から GUI で書き換えると、設定ファイルの真ん中らへんの記述がコメントアウトされ、その代わりの記述がファイルの最下部に追加されるようなことになったり、自分が直接コメントアウトされた設定項目に対して新たな項目が作られて二重に記述されている状態になったりと、設定ファイルの可読性がどんどん失われていきます。

     アプリケーションのアップデートへの Webmin の対応が遅れると、当然ながらきちんとした設定ファイルの作成を Webmin からできなくなりますし、不具合が起きたら Webmin から作成したゴミだらけの設定ファイルを解析しなければなりません。これは、他人の書いたスパゲッティーコードを解析するぐらい不快な作業です。

     従って、一見便利そうに見えても Webmin は使わずに、リファレンスやドキュメントなどを読みながら、自分で設定ファイルを直接書き換えることをお勧めします。Webmin が無ければサーバを構築できない人は、Webmin だけでサーバを構築しても脆弱性などにより他人に迷惑がかかることが想定されますので、まずは勉強から始めるべきです。

    • by Anonymous Coward

      CLIでも十分できるけど、こういうものがあるのは便利だし悪いことばかりじゃないと思うよ。

    • by Anonymous Coward

      GUIで設定できなければ死ぬ人はおとなしくWindows Serverを使っていればいい。あれなら管理ツールとバックエンドのバージョンが一致しないなんて問題は起こりようがないし、設定は柔軟すぎるテキストファイルではなくレジストリや管理ツール経由でなければいじれないバイナリファイルに記録されるし、CLIが使えなければ死ぬ人向けにもPowerShellがあるし。

    • by Anonymous Coward

      VPN を借りてまずやることは、Webmin のアンインストールですね。

      VPSを借りてでしょうか。

    • by Anonymous Coward

      Webminを使うときって、10000/tcpを外部に解放するってことあり得るのだろうか?
      普通は外部に公開してるなら、Webサーバのプロキシ機能(apacheならmod_proxy)つかってポート転送するとおもうんだけど。
      当然iptablesなどで10000/tcpはローカル以外からアクセスできない設定にしてる人がほとんどだろうし。
      なので、いままでWebminの脆弱性をねらったアクセスって素直にHTTPからアクセスが多く直接ポートスキャンって少なかったような・・

      >設定ファイルを直接書き換えるスキルが無い初心者にしか役に立たない代物
      まあ、それでもサーバ管理者にもスキルがそれぞれだろうから、Webminのようなwebページからの設定出来るようにと、ベンダーの人でお客さんから要望を請け負うケース、結構あると思うけどな。

      >アプリケーションのアップデートへの Webmin の対応が遅れると
      これは同意!

  • by Anonymous Coward on 2014年10月11日 13時30分 (#2692140)

    デフォルトポートで使うような情弱人がWebmin入れるかなぁとも思ったけど、意外とまだ人気なのかな。

    • Re:ううむ (スコア:5, すばらしい洞察)

      by Printable is bad. (38668) on 2014年10月11日 14時26分 (#2692169)

       「デフォルトポートで使うような情弱人」よりも、ポート番号を変えたり、バナー情報を消したりしたぐらいでセキュリティ対策をやったような気になっている自称情強人の方が厄介です(機械的な攻撃を防げる場合があることから、ポート番号の変更はやらないよりはマシ程度の効果はありますが……)。訳のわからん脆弱性検査ツールを使って、「『バナー情報』という脆弱性が発見された」と騒ぎ立てる人は、クラッカーよりも厄介な人種と言えます。それを根拠に契約を迫ってくる某セキュリティ対策会社は詐欺師のようなものです。

       話が逸れたのでポート番号の話に戻しますと、「銀行の暗証番号も4桁なんだから、より安全な5桁のポート番号(例: 34195)は簡単に破れるはずが無い」という主張を耳にした際には、空いた口が塞がりませんでした。

       ポート番号を暗証番号として秘匿するようなことをせずに、ファイアウォールレベルで当該ポートに接続できるIPアドレスを限定した上で、パスワード認証を全体的に禁止して公開鍵認証でのログインに限定するのが望ましいです。下手にデフォルトポートを弄ると、クライアント側のファイアウォールの設定変更が必要になったりと、管理が大変になります。

      親コメント
  • by Anonymous Coward on 2014年10月11日 15時14分 (#2692194)

    ルーターでポート開放してまで
    Webmin使う阿呆は
    さすがに居ないんじゃないでしょうか

    1台がおみやげ食らう

    LAN内のWebmin狙われる

    ホスティングサービス内で阿鼻叫喚

    みたいな流れだったりするのかな

    • by Anonymous Coward

      それ以前に、webminってローカルホストで使うもんだと思ってました。近頃のマシンでは外部ホストからアクセスするように設定されてるんだ・・・。

      # Webminなんて15年くらい名前自体を忘れていたのでAC

  • by Anonymous Coward on 2014年10月11日 20時01分 (#2692319)

    Webminが入っていないとまともにインストールできないのです。こまったものです。

    • by Anonymous Coward

      同じく。
      ユーザにパスワード変更のみ提供したい時とかファイラーのみ提供したいときとかにまれに使います。

      UserminはWebmin Daemonが常に動作している必要はないので
      必要な時だけ、手動で起動するようにしています。

      なにか他にいい選択肢はありますかね。
      CUIからやればいいというのは、うちの対象とするユーザには無理だな・・・

    • by Anonymous Coward

      Userminでのパスワード変更くらいしか提供してないけど、Webmin要るんですか?

      # Webminも入ってるほうが捗るとは思う

  • by Anonymous Coward on 2014年10月12日 20時34分 (#2692767)

    Webminなんてものが存在している事すら知りませんでした。
    全部設定テキストを編集するしかないと思ってました。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...