Go to Qiita Advent Calendar 2024 Top
LoginSignup
6
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@flyjay

Memcached脆弱性でDDoS踏み台に使われて、プロバイダによるネットワーク制限発生

Last updated at Posted at 2018-02-28

経緯

さくらインターネットのVPSを使って、2/26にあるVPSサーバーのネットワークを制限したというメールが届きました。
確認して、該当サーバーに設置したサイトが閲覧できない状態になっています。

対応

メール本文の中に下記文言が入っています。

この度、お客様ご利用中の上記サービスにおいて、DDoS攻撃のパケットと
思われる異常な通信が行われている状況を確認いたしました。

本件によって弊社の回線設備に多大な負荷がかかり、他のお客様が利用中の
サービスに影響が及んでいたため、誠に勝手ながら該当サービスにつきましては
通信停止措置を実施させていただきました。

緊急的な措置のため、事後のご報告となりましたことをお詫び申し上げます。

お手数ではございますが、以下の内容を実施くださいますでしょうか。
----------------------------------------------------------
■ 調査・対応
 ・該当VPSサーバが悪意のある第三者により不正侵入されている可能性や、
  memcachedがオープンとなっている可能性があるためフィルタリングを
  実施ください。

よって、下記2つの可能性が考えられます。

  1. VPSが第三者により不正侵入されて、DDoS攻撃の踏み台になった
  2. memcachedがオープンになっている

まずは1の対応について、正直に言うと、侵入痕跡はどこから調べて行けばいいのかあまりわかりません!

なので、2つ目の可能性を先に調べます。
まずmemcachedがオープンになっているのは初耳なので、「memcached オープン」をグーグル先生に聞いてみたが、あまりヒットしません、、、(言葉自体はかっこいい?が、わかりにくいですね)

そして、「memcached 設定」で再びグーグル先生に聞きます。
下記記事をみつけましたが、「オープン」に関して、特に書かれていません。
https://qiita.com/y13i/items/37e1ae7aa84fb946646a
しかし、memcachedの設定ファイルは「/etc/sysconfig/memcached」という手がかりを見つけました。

オープンの意味から推測して、キーワードを「memcached 外部アクセス」に変えて、下記記事でアクセス制限の設定ができることをわかりました。
http://gihyo.jp/dev/feature/01/memcached_advanced/0002

しかし、memcached -l IPアドレスを実行して、一時的な制限ですよね?再起動する時、自動実行を設定必要になります?もっとスマートな設定があるでしょうと思い、もう少しmemcached設定について検索してみまたら、やっと設定ファイルに制限を追記する方法をわかりました。
http://suka4.blogspot.jp/2011/02/centosmemcached.html

さらに健全な設定を求めるなら、ログやログローテーションを設定します。
Cent OS 6.9 に Memcached をインストール、ログの設定まで実施する

[CentOS 7.4 に Memcached をインストール、ログの設定まで実施する]
(https://www.monotalk.xyz/blog/cent-os-74-%E3%81%AB-memcached-%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%83%AD%E3%82%B0%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%81%BE%E3%81%A7%E5%AE%9F%E6%96%BD%E3%81%99%E3%82%8B/)

一先ず、memcachedの設定変更を行った状態で一度さくらインターネットに連絡して、しばらく経ってからネットワーク制限を解除してくれたメールがきました。

追記

その後、ニュースをチェックして、2月21日ごろより「memcached」狙うアクセスが増加、悪用報告も続出とわかりました。
http://www.security-next.com/090544

**「memcached」をデフォルトのまま利用している場合など、サーバが外部に意図せず公開されている場合があり、攻撃の踏み台に利用されたり、情報漏洩につながるおそれがある **

そもそも、該当サーバーのサービスは一つの静的なサイトのみで、memcachedを使っていないですが、自動化構築によるmemcachedが勝手に入ってしまいました。

まとめ:

個人的な感想ですが、

  1. Memcachedのアクセス権限をちゃんと設定すべき
  2. Cloudサービスなら、セキュリティグループなどに予めポートのアクセスについて定義してあるので、VPSより安全ですね。
  3. 脆弱性ニュースを常にチェックした方がいいです。
  4. 使わない物をインストールしないあるいは起動しない方がいいでしょう。
6
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
6
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?