何が起きたか
Web経由でサーバーにcronを設置され、外部攻撃の踏み台として何度も悪用されていた。
海外からの通信をファイアウォールで遮断したところ、それ以降侵入は発生しないようになった。
被害の概要
- 覚えのない通信が発生している
- 外部へのアクセスログが異常に多い
- cronに見覚えのないエントリが存在している
調査した結果、定期的に外部へ通信するcronが仕込まれており、踏み台として使われていた。
侵入方法
ログを調査したところWeb経由で侵入されていた。
- Webサーバー権限でcronを書き換え可能な設定
Webから書き込み可能なディレクトリにcronを設置されていた点が致命的だった。
なぜ踏み台にされたのか
踏み台にされやすい条件が意図せず揃っていた。
- 外向き通信がほぼ無制限
- 海外IPからのアクセス制限なし
- cronによる定期実行が監視されていなかった
攻撃者にとっては、
「侵入 → cron設置 → 放置しても定期的に使える」
非常に都合のいいサーバーだった。
実施した対策
行った対策はシンプル。
- 海外IPからの通信をファイアウォールで遮断
- cronの全洗い出しと不要エントリ削除
特に効果が大きかったのは、海外からの通信遮断だった。
結果どうなったか
海外IPを遮断して以降、
- 不審なcronの再設置なし
- 不正通信の発生なし
- 踏み台として使われた形跡なし
明らかに攻撃が止まった。
学び・教訓
- cronは攻撃者にとって「永続化」の手段
- Web経由でcronを触れる構成は非常に危険
- 海外IP遮断は「最後の砦」だが、効果は大きい
- 侵入されない前提」は危険
小規模サーバーほど、狙われると簡単に踏み台にされると痛感した。