Waffle Computer BBS（Japanese）

いつも、お世話になっています。kounです。

今朝、wafflecellにアクセスしようとしたところ、アクセスできなくなっていました。
エラーという表示がされて（詳しくは記録してないので不明です。）、トップページにもアクセスできなくなりました。
VNCで、仮想デスクトップにもアクセスできないし、owncloudにもアクセスできなくなりました。

サーバを見ると、ハードディスクのアクセスランプは時折点滅するので、動いているようなのですが、wafflecellに
アクセスできません。
無線ＬＡＮの問題かと思い、有線でつながっているPCでアクセスしてみましたが同じでした。

ハングアップしてしまっているのかなと思い、電源ボタンを切って終了しました。

仕事から帰ってきて、電源を起動すると正常に動きました。access_pub.logをチェックしてみると、
電源を切った時間前後に、私がアクセスしたログは残っていました。

不審に思いさかのぼって見ると、ソーシャルブックマークに大量のアクセスがありました。たぶんbot。
そして、あまり見たこともないLOGがありました。

[04/Nov/2014:04:56:27 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:29 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:30 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:30 +0900] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:31 +0900] "GET /scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:31 +0900] "GET HTTP/1.1" 400 349 "-" "-"

これって、サーバに対する攻撃を受けたのではないかと思うのですがいかがでしょうか。
侵入されているのであれば、心配です。何らかの対応は必要でしょうか？

このログはランダムにアクセスを試みているアタックの形跡です。ログには残っていますが、実害はありません。
普段使っているPCにも同じようなアクセスは常にありますが、問題はありません。例えば

　　　 /phpmyadmin/scripts/setup.php

というのは、データベース管理ソフトをインストールしたままパスワードなどを設定していないときに問題となるアクセスです。
Waffle Cellや普段お使いのPCにこのようなソフトを危険なままインストールすることはなく、影響はありません。

なお、今朝短い時間ですがDNSサーバー関連のデータベースが止まっていた可能性があり、アクセスしにくくなった可能性が
あります。本件は現在調査中で、詳細が分かりましたらご報告する予定です。

いつも、お世話になっています。kounです。

LOGをチェックしていたら、外部からのアクセスで何かをPUTしています。
何かの対処は必要でしょうか。

192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:52 +0900] "GET //index.php HTTP/1.1" 200 10558 "-" "curl/7.15.5 (x86_64-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5"
192.232.192.201 - - [09/Nov/2014:00:37:53 +0900] "PUT /nyet.gif HTTP/1.1" 417 363 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)"
192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:54 +0900] "GET /nyet.gif HTTP/1.1" 404 345 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)"

セキュリティホールがあるサーバーを探している、ボットのログ
のようです。画像ファイルをプットしてそのデータが書き込めたか、ゲットしているようです。
ただ、該当のサービスは使用していないので、書き込みのステータスが417で失敗。
書き込めたかの確認で404not foundが出ているようです。

プレーンＨＴＭＬによってファイルを書き込むようなサービスは実装していなので
このログは気にすることは無いと思います。

回答ありがとうございます。ｋｏｕｎです。
安心しました。何かを書き込みに来たようなlogを初めて見つけたので
心配していました。

その数字がステータスと走りませんでした。勉強になりました。
もう少し勉強します。

Chocowfl です。

こんなもの見つけたのでメモしておきます。

情報処理推進機構（IPA）から
ウェブサイトの攻撃兆候検出ツール iLogScanner
https://www.ipa.go.jp/security/vuln/iLogScanner/
（どの程度頼りになるか不明ですが．．．）

Vectorから
ApacheLogViewer
http://www.vector.co.jp/soft/win95/net/se252609.html
Apache等のログを見やすく表示できて便利です。（Windows8.1でも動きます）

kounです。

Chocowflさん。ツールの紹介ありがとうございます。
私は、エクセルでログを切り分けるマクロをつくってチェックしていました。
こんなツールがあったんですね。使ってみます。

最近、妙にサーバのアクセスランプが頻繁に点滅するのでログをチェックして
います。ソーシャルブックマークへボットによるアクセスが多いようです。

攻撃によりファイルサーバ部分への侵入があると怖いなと思っています。
ここで、助言いただいている感じでは、そう簡単には侵入されないのかなという
感じていますが・・・

安全性を考えるなら、ウェブサーバとファイルサーバは分けて持つようにしたほうが
良いのかもしれないなと最近思っています。（今のところそこまでの運用は実行しませんが・・・）

Waffle Cellではウェブサーバーとファイルサーバーは内部で分離されています。
システムそのものに「穴」が開いていない限りウェブサーバー経由でファイルサーバー
（各ユーザーの管理下にあるデータ領域）へのアクセスはできません。

ownCloudの場合、通常のインストールではウェブとファイルを置く場所が同じ領域になりますが、
（ブラウザでデータにアクセスさせるため）、Waffle Cellのインストーラではこの領域を分けるように
しています。