- - PR -
踏み台?
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2005-03-20 19:50
はじめまして。anzと申します。
先日、私の所属する部門で設置されているWebサーバ (Apache 2.0.52) の ログを確認したところ、大量の HTTP "CONNECT" 要求が記録されており、 いろいろなサーバのFTPやtelnetポートに対しての接続要求が行われているようでした。 そして、ログの内容からは、それらの要求は成功しているようでした。 大変お恥ずかしながら踏み台にされているようでしたので、即刻サービスを停止いたしました。 外部ネットワークから切り離した状態でそのサーバの80番ポートにHTTP "CONNECT"要求を送ったのですが、すべて 400 Bad Request ではねられました。(Host:フィールドなどはちゃんと付加しています) また、そもそもこのサーバには mod_proxy などのプロキシ機能は組み込んでいないはずなのですが、どうしてこのような事態になってしまったのでしょうか。 問題の解決のため、識者の皆様のお知恵をいただきたく、どうかよろしくお願いいたします。 追伸:調査の課程で、Aoacheを2.0.53にアップデートしました。 [ メッセージ編集済み 編集者: anz 編集日時 2005-03-20 19:52 ] |
|
投稿日時: 2005-03-20 20:36
こんばんわ.
「踏み台」ということではなく,普通に侵入しようと試みただけでは? その結果,他の host への侵入の踏み台にされたのかもしれませんが... httpd については ddos を仕掛けられたのでは? telnet や ftp で「要求は成功」しているほうが よほど困った話だと思いますけど... httpd での対策としては, それらの要求の接続元を packet filter して reject してやれば良いのでは? |
|
投稿日時: 2005-03-20 20:52
kaz様、早速のお返事ありがとうございます。
ログを掲載しておりませんでした。申し訳ありません。 一部を掲載いたしますと、 ***.***.***.*** - - [19/Mar/2005:01:39:07 +0900] "CONNECT irc.*****.****.ad.jp:6667 HTTP/1.0" 200 3514 ***.***.***.*** - - [19/Mar/2005:23:10:03 +0900] "CONNECT maila.*********.com:25 HTTP/1.0" 200 3514 のような行があり、リザルトコード200から要求が成功していると判断した次第です。 ほかに、企業ドメインのサイトへのtelnet要求やftp要求なども、リザルトコード200が記録されておりました。 ほかに不特定のIPからSEARCH要求が入ってきたりしておりますが、そちらは414ではねられています。 私の書き方が不適切だったようで状況をうまく伝えられておりませんでした。 当方ではtelnetやftpは運用しておりません。httpdのみです。 このhttpdがCONNECT要求を受け、他の企業のtelnetサーバやftpサーバに対して 接続をトンネリングしていると思われる事態です。 [ メッセージ編集済み 編集者: anz 編集日時 2005-03-20 21:01 ] |
|
投稿日時: 2005-03-21 11:18
こんにちは。
う〜ん… @IT さんの下記の連載が、参考になるかもしれません。 ・ @IT:Security&Trust 全記事一覧 の 「インシデントレスポンス関連記事」 こちらのページも、ストーリー仕立てで読みやすいかと思います。 ・ クラッキング _________________ はゆる Smile, Smiles make me happy. |
|
投稿日時: 2005-03-21 18:04
レスポンスコード400は Bad Request ですし、プロトコルエラーではないでしょうか?
とりあえず自宅のApache(バージョン1系列ですが)で試してみると 405 Method Not Allowed が返ってきました。 anzさんのところのログの2つとも転送サイズが3514なので 気になってGoogleで調べてみると、 http://tomocha.net/docs/irc/denied_access.html というのが見つかりました。 ドキュメントルートのインデックスファイルが動的な場合は常に200が返るようです。 
私の環境でもそうなりました。 # バージョン1系列なのであまり参考にならない気もしますけど 
実際には中継していない可能性もありますし、 レスポンスコードが400というのも変な気がするので もう一度テストしてみてはいかがでしょうか? # ちなみに私の場合は「CONNECT 127.0.0.1:80 HTTP/1.0」の一行だけのと # Host を加えて2行のとで試しましたが、結果は同じでした。 # レスポンスコードをリターンコードと書いていたので修正 [ メッセージ編集済み 編集者: cn009 編集日時 2005-03-21 21:44 ] |
|
投稿日時: 2005-03-21 22:16
皆様お返事ありがとうございます。
cn009さんのご指摘のように、 サーバのルートで部員向けのWikiを運用しているのが原因のようです。 このCONNECTメソッドでの要求がWikiプログラムで処理されて(常にGET要求と見なされて)Wikiページを返しているだけなのか、 Apacheで処理されて中継を許している状態なのか調査してみる必要がありそうですが、 とりあえずWikiだけ撤去して明日から他のサービス(WebDAV)を再開できそうです。 (DAVサービスを部内のスケジュール管理に使用しており出先からも使用するので止まると困ります) また対策として、CONNECTメソッドがWikiで処理されているなら、CONNECTメソッドに対しては常に405を返すようにプログラムを修正しようと思います。(独自開発のWikiなもので) 調査結果は追って書き込ませていただきます。 皆様本当にありがとうございました。 [ メッセージ編集済み 編集者: anz 編集日時 2005-03-21 22:18 ] |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。