1. flyjay

    Posted

    flyjay
Changes in title
+Memcached脆弱性でDDoS踏み台に使われて、プロバイダによるネットワーク制限発生
Changes in tags
Changes in body
Source | HTML | Preview
@@ -0,0 +1,68 @@
+# 経緯
+さくらインターネットのVPSを使って、2/26にあるVPSサーバーのネットワークを制限したというメールが届きました。
+
+# 対応
+メール本文の中に下記文言が入っています。
+
+```
+この度、お客様ご利用中の上記サービスにおいて、DDoS攻撃のパケットと
+思われる異常な通信が行われている状況を確認いたしました。
+
+本件によって弊社の回線設備に多大な負荷がかかり、他のお客様が利用中の
+サービスに影響が及んでいたため、誠に勝手ながら該当サービスにつきましては
+通信停止措置を実施させていただきました。
+
+緊急的な措置のため、事後のご報告となりましたことをお詫び申し上げます。
+
+お手数ではございますが、以下の内容を実施くださいますでしょうか。
+----------------------------------------------------------
+■ 調査・対応
+ ・該当VPSサーバが悪意のある第三者により不正侵入されている可能性や、
+  memcachedがオープンとなっている可能性があるためフィルタリングを
+  実施ください。
+
+```
+
+よって、下記2つの可能性が考えられます。
+
+1. VPSが第三者により不正侵入されて、DDoS攻撃の踏み台になった
+2. memcachedがオープンになっている
+
+まずは1の対応について、正直に言うと、侵入痕跡はどこから調べて行けばいいのかあまりわかりません!
+
+なので、2つ目の可能性を先に調べます。
+まずmemcachedがオープンになっているのは初耳なので、「memcached オープン」をグーグル先生に聞いてみたが、あまりヒットしません、、、(言葉自体はかっこいい?が、わかりにくいですね)
+
+そして、「memcached 設定」で再びグーグル先生に聞きます。
+下記記事をみつけましたが、「オープン」に関して、特に書かれていません。
+https://qiita.com/y13i/items/37e1ae7aa84fb946646a
+しかし、memcachedの設定ファイルは「/etc/sysconfig/memcached」という手がかりを見つけました。
+
+オープンの意味から推測して、キーワードを「memcached 外部アクセス」に変えて、下記記事でアクセス制限の設定ができることをわかりました。
+http://gihyo.jp/dev/feature/01/memcached_advanced/0002
+
+しかし、`memcached -l IPアドレス`を実行して、一時的な制限ですよね?再起動する時、自動実行を設定必要になります?もっとスマートな設定があるでしょうと思い、もう少しmemcached設定について検索してみまたら、やっと設定ファイルに制限を追記する方法をわかりました。
+http://suka4.blogspot.jp/2011/02/centosmemcached.html
+
+さらに健全な設定を求めるなら、ログやログローテーションを設定します。
+[Cent OS 6.9 に Memcached をインストール、ログの設定まで実施する](https://www.monotalk.xyz/blog/cent-os-69-%E3%81%AB-memcached-%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%83%AD%E3%82%B0%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%81%BE%E3%81%A7%E5%AE%9F%E6%96%BD%E3%81%99%E3%82%8B/)
+
+[CentOS 7.4 に Memcached をインストール、ログの設定まで実施する]
+(https://www.monotalk.xyz/blog/cent-os-74-%E3%81%AB-memcached-%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%83%AD%E3%82%B0%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%81%BE%E3%81%A7%E5%AE%9F%E6%96%BD%E3%81%99%E3%82%8B/)
+
+一先ず、memcachedの設定変更を行った状態で一度さくらインターネットに連絡して、しばらく経ってからネットワーク制限を解除してくれたメールがきました。
+
+# 追記
+その後、ニュースをチェックして、2月21日ごろより「memcached」狙うアクセスが増加、悪用報告も続出とわかりました。
+http://www.security-next.com/090544
+
+### **「memcached」をデフォルトのまま利用している場合など、サーバが外部に意図せず公開されている場合があり、攻撃の踏み台に利用されたり、情報漏洩につながるおそれがある **
+
+そもそも、該当サーバーのサービスは一つの静的なサイトのみで、memcachedを使っていないですが、自動化構築によるmemcachedが勝手に入ってしまいました。
+
+# まとめ:
+個人的なかんそうですが、
+1. Memcachedのアクセス権限をちゃんと設定すべき
+2. Cloudサービスなら、セキュリティグループなどに予めポートのアクセスについて定義してあるので、VPSより安全ですね。
+3. 脆弱性ニュースを常にチェックした方がいいです。
+4. 使わない物をインストールしないあるいは起動しない方がいいでしょう。