サーバーのダウン?サイバー攻撃?

サーバーのダウン?サイバー攻撃?

投稿記事by koun » 2014年11月04日(火) 22:04

いつも、お世話になっています。kounです。

今朝、wafflecellにアクセスしようとしたところ、アクセスできなくなっていました。
エラーという表示がされて(詳しくは記録してないので不明です。)、トップページにもアクセスできなくなりました。
VNCで、仮想デスクトップにもアクセスできないし、owncloudにもアクセスできなくなりました。

サーバを見ると、ハードディスクのアクセスランプは時折点滅するので、動いているようなのですが、wafflecellに
アクセスできません。
無線LANの問題かと思い、有線でつながっているPCでアクセスしてみましたが同じでした。

ハングアップしてしまっているのかなと思い、電源ボタンを切って終了しました。

仕事から帰ってきて、電源を起動すると正常に動きました。access_pub.logをチェックしてみると、
電源を切った時間前後に、私がアクセスしたログは残っていました。

不審に思いさかのぼって見ると、ソーシャルブックマークに大量のアクセスがありました。たぶんbot。
そして、あまり見たこともないLOGがありました。

[04/Nov/2014:04:56:27 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:29 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:30 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:30 +0900] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:31 +0900] "GET /scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:31 +0900] "GET HTTP/1.1" 400 349 "-" "-"

これって、サーバに対する攻撃を受けたのではないかと思うのですがいかがでしょうか。
侵入されているのであれば、心配です。何らかの対応は必要でしょうか?
koun
 
記事: 220
登録日時: 2013年11月17日(日) 12:54

Re: サーバーのダウン?サイバー攻撃?

投稿記事by mozart » 2014年11月04日(火) 23:57

koun さんが書きました: [04/Nov/2014:04:56:27 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:28 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:29 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:30 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:30 +0900] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:31 +0900] "GET /scripts/setup.php HTTP/1.1" 404 345 "-" "ZmEu"
[04/Nov/2014:04:56:31 +0900] "GET HTTP/1.1" 400 349 "-" "-"


このログはランダムにアクセスを試みているアタックの形跡です。ログには残っていますが、実害はありません。
普段使っているPCにも同じようなアクセスは常にありますが、問題はありません。例えば

    /phpmyadmin/scripts/setup.php

というのは、データベース管理ソフトをインストールしたままパスワードなどを設定していないときに問題となるアクセスです。
Waffle Cellや普段お使いのPCにこのようなソフトを危険なままインストールすることはなく、影響はありません。

なお、今朝短い時間ですがDNSサーバー関連のデータベースが止まっていた可能性があり、アクセスしにくくなった可能性が
あります。本件は現在調査中で、詳細が分かりましたらご報告する予定です。
アバター
mozart
 
記事: 707
登録日時: 2013年5月24日(金) 13:56
お住まい: 東京の中心、板橋区

このLOGは大丈夫でしょうか。

投稿記事by koun » 2014年11月12日(水) 18:08

いつも、お世話になっています。kounです。

LOGをチェックしていたら、外部からのアクセスで何かをPUTしています。
何かの対処は必要でしょうか。

192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:52 +0900] "GET //index.php HTTP/1.1" 200 10558 "-" "curl/7.15.5 (x86_64-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5"
192.232.192.201 - - [09/Nov/2014:00:37:53 +0900] "PUT /nyet.gif HTTP/1.1" 417 363 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)"
192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:54 +0900] "GET /nyet.gif HTTP/1.1" 404 345 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)"
koun
 
記事: 220
登録日時: 2013年11月17日(日) 12:54

Re: このLOGは大丈夫でしょうか。

投稿記事by wafflecomdev » 2014年11月13日(木) 16:11

セキュリティホールがあるサーバーを探している、ボットのログ
のようです。画像ファイルをプットしてそのデータが書き込めたか、ゲットしているようです。
ただ、該当のサービスは使用していないので、書き込みのステータスが417で失敗。
書き込めたかの確認で404not foundが出ているようです。

プレーンHTMLによってファイルを書き込むようなサービスは実装していなので
このログは気にすることは無いと思います。


koun さんが書きました:いつも、お世話になっています。kounです。

LOGをチェックしていたら、外部からのアクセスで何かをPUTしています。
何かの対処は必要でしょうか。

192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:52 +0900] "GET //index.php HTTP/1.1" 200 10558 "-" "curl/7.15.5 (x86_64-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5"
192.232.192.201 - - [09/Nov/2014:00:37:53 +0900] "PUT /nyet.gif HTTP/1.1" 417 363 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)"
192.232.192.201 maple.wafflecell.com - [09/Nov/2014:00:37:54 +0900] "GET /nyet.gif HTTP/1.1" 404 345 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)"
wafflecomdev
 
記事: 17
登録日時: 2013年11月13日(水) 11:46

Re: サーバーのダウン?サイバー攻撃?

投稿記事by koun » 2014年11月16日(日) 12:24

回答ありがとうございます。kounです。
安心しました。何かを書き込みに来たようなlogを初めて見つけたので
心配していました。

その数字がステータスと走りませんでした。勉強になりました。
もう少し勉強します。
koun
 
記事: 220
登録日時: 2013年11月17日(日) 12:54

Re: サーバーのダウン?サイバー攻撃?

投稿記事by Chocowfl » 2014年11月22日(土) 21:56

Chocowfl です。

こんなもの見つけたのでメモしておきます。

情報処理推進機構(IPA)から
ウェブサイトの攻撃兆候検出ツール iLogScanner
https://www.ipa.go.jp/security/vuln/iLogScanner/
(どの程度頼りになるか不明ですが...)

Vectorから
ApacheLogViewer
http://www.vector.co.jp/soft/win95/net/se252609.html
Apache等のログを見やすく表示できて便利です。(Windows8.1でも動きます)
Chocowfl
 
記事: 76
登録日時: 2014年1月13日(月) 00:16

Re: サーバーのダウン?サイバー攻撃?

投稿記事by koun » 2014年11月23日(日) 18:18

kounです。

Chocowflさん。ツールの紹介ありがとうございます。
私は、エクセルでログを切り分けるマクロをつくってチェックしていました。
こんなツールがあったんですね。使ってみます。

最近、妙にサーバのアクセスランプが頻繁に点滅するのでログをチェックして
います。ソーシャルブックマークへボットによるアクセスが多いようです。

攻撃によりファイルサーバ部分への侵入があると怖いなと思っています。
ここで、助言いただいている感じでは、そう簡単には侵入されないのかなという
感じていますが・・・

安全性を考えるなら、ウェブサーバとファイルサーバは分けて持つようにしたほうが
良いのかもしれないなと最近思っています。(今のところそこまでの運用は実行しませんが・・・)
koun
 
記事: 220
登録日時: 2013年11月17日(日) 12:54

Re: サーバーのダウン?サイバー攻撃?

投稿記事by mozart » 2014年11月25日(火) 10:30

koun さんが書きました:安全性を考えるなら、ウェブサーバとファイルサーバは分けて持つようにしたほうが
良いのかもしれないなと最近思っています。(今のところそこまでの運用は実行しませんが・・・)

Waffle Cellではウェブサーバーとファイルサーバーは内部で分離されています。
システムそのものに「穴」が開いていない限りウェブサーバー経由でファイルサーバー
(各ユーザーの管理下にあるデータ領域)へのアクセスはできません。

ownCloudの場合、通常のインストールではウェブとファイルを置く場所が同じ領域になりますが、
(ブラウザでデータにアクセスさせるため)、Waffle Cellのインストーラではこの領域を分けるように
しています。
アバター
mozart
 
記事: 707
登録日時: 2013年5月24日(金) 13:56
お住まい: 東京の中心、板橋区


Return to 一般

オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[3人]

cron