Edited at

Memcached脆弱性でDDoS踏み台に使われて、プロバイダによるネットワーク制限発生

More than 1 year has passed since last update.


経緯

さくらインターネットのVPSを使って、2/26にあるVPSサーバーのネットワークを制限したというメールが届きました。

確認して、該当サーバーに設置したサイトが閲覧できない状態になっています。


対応

メール本文の中に下記文言が入っています。

この度、お客様ご利用中の上記サービスにおいて、DDoS攻撃のパケットと

思われる異常な通信が行われている状況を確認いたしました。

本件によって弊社の回線設備に多大な負荷がかかり、他のお客様が利用中の
サービスに影響が及んでいたため、誠に勝手ながら該当サービスにつきましては
通信停止措置を実施させていただきました。

緊急的な措置のため、事後のご報告となりましたことをお詫び申し上げます。

お手数ではございますが、以下の内容を実施くださいますでしょうか。
----------------------------------------------------------
■ 調査・対応
 ・該当VPSサーバが悪意のある第三者により不正侵入されている可能性や、
  memcachedがオープンとなっている可能性があるためフィルタリングを
  実施ください。

よって、下記2つの可能性が考えられます。


  1. VPSが第三者により不正侵入されて、DDoS攻撃の踏み台になった

  2. memcachedがオープンになっている

まずは1の対応について、正直に言うと、侵入痕跡はどこから調べて行けばいいのかあまりわかりません!

なので、2つ目の可能性を先に調べます。

まずmemcachedがオープンになっているのは初耳なので、「memcached オープン」をグーグル先生に聞いてみたが、あまりヒットしません、、、(言葉自体はかっこいい?が、わかりにくいですね)

そして、「memcached 設定」で再びグーグル先生に聞きます。

下記記事をみつけましたが、「オープン」に関して、特に書かれていません。

https://qiita.com/y13i/items/37e1ae7aa84fb946646a

しかし、memcachedの設定ファイルは「/etc/sysconfig/memcached」という手がかりを見つけました。

オープンの意味から推測して、キーワードを「memcached 外部アクセス」に変えて、下記記事でアクセス制限の設定ができることをわかりました。

http://gihyo.jp/dev/feature/01/memcached_advanced/0002

しかし、memcached -l IPアドレスを実行して、一時的な制限ですよね?再起動する時、自動実行を設定必要になります?もっとスマートな設定があるでしょうと思い、もう少しmemcached設定について検索してみまたら、やっと設定ファイルに制限を追記する方法をわかりました。

http://suka4.blogspot.jp/2011/02/centosmemcached.html

さらに健全な設定を求めるなら、ログやログローテーションを設定します。

Cent OS 6.9 に Memcached をインストール、ログの設定まで実施する

CentOS 7.4 に Memcached をインストール、ログの設定まで実施する

一先ず、memcachedの設定変更を行った状態で一度さくらインターネットに連絡して、しばらく経ってからネットワーク制限を解除してくれたメールがきました。


追記

その後、ニュースをチェックして、2月21日ごろより「memcached」狙うアクセスが増加、悪用報告も続出とわかりました。

http://www.security-next.com/090544


*「memcached」をデフォルトのまま利用している場合など、サーバが外部に意図せず公開されている場合があり、攻撃の踏み台に利用されたり、情報漏洩につながるおそれがある *

そもそも、該当サーバーのサービスは一つの静的なサイトのみで、memcachedを使っていないですが、自動化構築によるmemcachedが勝手に入ってしまいました。


まとめ:

個人的な感想ですが、

1. Memcachedのアクセス権限をちゃんと設定すべき

2. Cloudサービスなら、セキュリティグループなどに予めポートのアクセスについて定義してあるので、VPSより安全ですね。

3. 脆弱性ニュースを常にチェックした方がいいです。

4. 使わない物をインストールしないあるいは起動しない方がいいでしょう。