経緯
さくらインターネットのVPSを使って、2/26にあるVPSサーバーのネットワークを制限したというメールが届きました。
確認して、該当サーバーに設置したサイトが閲覧できない状態になっています。
対応
メール本文の中に下記文言が入っています。
この度、お客様ご利用中の上記サービスにおいて、DDoS攻撃のパケットと
思われる異常な通信が行われている状況を確認いたしました。
本件によって弊社の回線設備に多大な負荷がかかり、他のお客様が利用中の
サービスに影響が及んでいたため、誠に勝手ながら該当サービスにつきましては
通信停止措置を実施させていただきました。
緊急的な措置のため、事後のご報告となりましたことをお詫び申し上げます。
お手数ではございますが、以下の内容を実施くださいますでしょうか。
----------------------------------------------------------
■ 調査・対応
・該当VPSサーバが悪意のある第三者により不正侵入されている可能性や、
memcachedがオープンとなっている可能性があるためフィルタリングを
実施ください。
よって、下記2つの可能性が考えられます。
- VPSが第三者により不正侵入されて、DDoS攻撃の踏み台になった
- memcachedがオープンになっている
まずは1の対応について、正直に言うと、侵入痕跡はどこから調べて行けばいいのかあまりわかりません!
なので、2つ目の可能性を先に調べます。
まずmemcachedがオープンになっているのは初耳なので、「memcached オープン」をグーグル先生に聞いてみたが、あまりヒットしません、、、(言葉自体はかっこいい?が、わかりにくいですね)
そして、「memcached 設定」で再びグーグル先生に聞きます。
下記記事をみつけましたが、「オープン」に関して、特に書かれていません。
https://qiita.com/y13i/items/37e1ae7aa84fb946646a
しかし、memcachedの設定ファイルは「/etc/sysconfig/memcached」という手がかりを見つけました。
オープンの意味から推測して、キーワードを「memcached 外部アクセス」に変えて、下記記事でアクセス制限の設定ができることをわかりました。
http://gihyo.jp/dev/feature/01/memcached_advanced/0002
しかし、memcached -l IPアドレスを実行して、一時的な制限ですよね?再起動する時、自動実行を設定必要になります?もっとスマートな設定があるでしょうと思い、もう少しmemcached設定について検索してみまたら、やっと設定ファイルに制限を追記する方法をわかりました。
http://suka4.blogspot.jp/2011/02/centosmemcached.html
さらに健全な設定を求めるなら、ログやログローテーションを設定します。
Cent OS 6.9 に Memcached をインストール、ログの設定まで実施する
CentOS 7.4 に Memcached をインストール、ログの設定まで実施する
一先ず、memcachedの設定変更を行った状態で一度さくらインターネットに連絡して、しばらく経ってからネットワーク制限を解除してくれたメールがきました。
追記
その後、ニュースをチェックして、2月21日ごろより「memcached」狙うアクセスが増加、悪用報告も続出とわかりました。
http://www.security-next.com/090544
*「memcached」をデフォルトのまま利用している場合など、サーバが外部に意図せず公開されている場合があり、攻撃の踏み台に利用されたり、情報漏洩につながるおそれがある *
そもそも、該当サーバーのサービスは一つの静的なサイトのみで、memcachedを使っていないですが、自動化構築によるmemcachedが勝手に入ってしまいました。
まとめ:
個人的な感想ですが、
1. Memcachedのアクセス権限をちゃんと設定すべき
2. Cloudサービスなら、セキュリティグループなどに予めポートのアクセスについて定義してあるので、VPSより安全ですね。
3. 脆弱性ニュースを常にチェックした方がいいです。
4. 使わない物をインストールしないあるいは起動しない方がいいでしょう。