1. flyjay

    No comment

    flyjay
Changes in body
Source | HTML | Preview
@@ -1,68 +1,69 @@
# 経緯
さくらインターネットのVPSを使って、2/26にあるVPSサーバーのネットワークを制限したというメールが届きました。
+確認して、該当サーバーに設置したサイトが閲覧できない状態になっています。
# 対応
メール本文の中に下記文言が入っています。
```
この度、お客様ご利用中の上記サービスにおいて、DDoS攻撃のパケットと
思われる異常な通信が行われている状況を確認いたしました。
本件によって弊社の回線設備に多大な負荷がかかり、他のお客様が利用中の
サービスに影響が及んでいたため、誠に勝手ながら該当サービスにつきましては
通信停止措置を実施させていただきました。
緊急的な措置のため、事後のご報告となりましたことをお詫び申し上げます。
お手数ではございますが、以下の内容を実施くださいますでしょうか。
----------------------------------------------------------
■ 調査・対応
 ・該当VPSサーバが悪意のある第三者により不正侵入されている可能性や、
  memcachedがオープンとなっている可能性があるためフィルタリングを
  実施ください。
```
よって、下記2つの可能性が考えられます。
1. VPSが第三者により不正侵入されて、DDoS攻撃の踏み台になった
2. memcachedがオープンになっている
まずは1の対応について、正直に言うと、侵入痕跡はどこから調べて行けばいいのかあまりわかりません!
なので、2つ目の可能性を先に調べます。
まずmemcachedがオープンになっているのは初耳なので、「memcached オープン」をグーグル先生に聞いてみたが、あまりヒットしません、、、(言葉自体はかっこいい?が、わかりにくいですね)
そして、「memcached 設定」で再びグーグル先生に聞きます。
下記記事をみつけましたが、「オープン」に関して、特に書かれていません。
https://qiita.com/y13i/items/37e1ae7aa84fb946646a
しかし、memcachedの設定ファイルは「/etc/sysconfig/memcached」という手がかりを見つけました。
オープンの意味から推測して、キーワードを「memcached 外部アクセス」に変えて、下記記事でアクセス制限の設定ができることをわかりました。
http://gihyo.jp/dev/feature/01/memcached_advanced/0002
しかし、`memcached -l IPアドレス`を実行して、一時的な制限ですよね?再起動する時、自動実行を設定必要になります?もっとスマートな設定があるでしょうと思い、もう少しmemcached設定について検索してみまたら、やっと設定ファイルに制限を追記する方法をわかりました。
http://suka4.blogspot.jp/2011/02/centosmemcached.html
さらに健全な設定を求めるなら、ログやログローテーションを設定します。
[Cent OS 6.9 に Memcached をインストール、ログの設定まで実施する](https://www.monotalk.xyz/blog/cent-os-69-%E3%81%AB-memcached-%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%83%AD%E3%82%B0%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%81%BE%E3%81%A7%E5%AE%9F%E6%96%BD%E3%81%99%E3%82%8B/)
[CentOS 7.4 に Memcached をインストール、ログの設定まで実施する]
(https://www.monotalk.xyz/blog/cent-os-74-%E3%81%AB-memcached-%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%83%AD%E3%82%B0%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%81%BE%E3%81%A7%E5%AE%9F%E6%96%BD%E3%81%99%E3%82%8B/)
一先ず、memcachedの設定変更を行った状態で一度さくらインターネットに連絡して、しばらく経ってからネットワーク制限を解除してくれたメールがきました。
# 追記
その後、ニュースをチェックして、2月21日ごろより「memcached」狙うアクセスが増加、悪用報告も続出とわかりました。
http://www.security-next.com/090544
### **「memcached」をデフォルトのまま利用している場合など、サーバが外部に意図せず公開されている場合があり、攻撃の踏み台に利用されたり、情報漏洩につながるおそれがある **
そもそも、該当サーバーのサービスは一つの静的なサイトのみで、memcachedを使っていないですが、自動化構築によるmemcachedが勝手に入ってしまいました。
# まとめ:
個人的なかんそうですが、
1. Memcachedのアクセス権限をちゃんと設定すべき
2. Cloudサービスなら、セキュリティグループなどに予めポートのアクセスについて定義してあるので、VPSより安全ですね。
3. 脆弱性ニュースを常にチェックした方がいいです。
4. 使わない物をインストールしないあるいは起動しない方がいいでしょう。