2011-11-29 体調調整中....
しばらくお待ち下さい。
◆ [情報] 福島県伊達市でもコメから規制値超のセシウム検出、9kgは流通した可能性も
だから、全数検査せずに出すのは自殺行為だと言ってたのに。
最低数年、最悪一生福島産の農産物の「問題ない」は信じて貰えないでしょうね。
次は水産物か。
◆ [情報] 福島産のコメ、宮城産と産地偽装…仙台の業者
そして、問題は福島だけではなくなる、と。
……農家(もしくは地元JA)から直接配送ってサービス立ち上げたら、注文殺到するかもね(笑)
てか、汚染度合いがかなり低い福島から遠い地域の農家/JAはそう言うサービス始めた方が良いんじゃないの?
自分の地域が偽装に使われて「風評被害」(これは実害のあるエセ風評被害ではなく、本来の意味での風評被害)が出る前にさ。
今ならまだ、ちゃんと検査して「検査結果:○○Bq/Kg(もしくは未検出)」「検査機関:○○」「提供:○○」って書いて直販すれば信用されると思うよ。
一度偽装されると、多分かなり信用を取り戻すのは難しくなるし。
◆ [日記][セキュリティ] なんか「サーバー乗っ取られたんで、時間に余裕があれば見てー」と言われたので見てみた。
いや、体調整えるためにのんびりしてたら、そんなヘルプがね。
頭の体操にもなるし、まぁ良いかーと思って見てみたんだが……
これはあかん。完全に乗っ取られてる(笑)rootで未知のプロセス(sshでパスワードログイン試行するプログラムとIRC Serverかな?)が走ってるwww
「今すぐLANケーブル引っこ抜いてネットワークから分離」が理想型なのだが、曰く「商売に使ってるサーバーなのですぐには止められない。出来る限り早く入れ替えるけど、とりあえず数日何とかなるレベルで良いんで、何とかならない?」だそーで。
うーん、ちょっとアクセスしてみたら、物売ってるサイトなんだけど、大丈夫なんだろうか、という不安をそこはかとなく感じつつ、サーバーチェック。
結論から言うと、セキュリティ甘くて適当に踏み台にされただけっぽいんですが、まぁrootまでしっかり取られてるんで、何やられてるかわからんので、さっさと対策してくださいと伝えた。あと、情報漏洩してるかもしれないんでその辺も注意、と。
いや、調べてみたら、侵入経路が全く特定できなくてさー。rootで走ってるプログラムは古いの多くてセキュリティホールあるのが複数あるわ、rpcサービスやら、SQL Serverへの接続も外からつつけるわ、サイトでプログラム沢山あって、どれから入ってきたか分からないわ、ローカルのkernelにセキュリティホールはあるわ……。
よーするに「侵入可能な経路が多すぎて特定できない」という困ったさん状態に(;´Д`)<侵入したと予測される時間周辺のログは消されてました。消し忘れたっぽいログの痕跡が1つだけあったけど、海外なので手が出せない~
kernel周辺は多少いじられてたっぽい気配はあったけど、プロセス隠蔽とか見えないファイルとかまでいじってはいなさそうだったので(一部怪しい挙動のがあったが……)、とりあえずバックアップを取って貰った後(慌てて全部消されないように、ね)、見える範囲内で変なサービスを全部止めて、cronで定期実行してた怪しいプログラム全部止めて、setuid rootされてたシェルらしき物からパーミッション奪い取って、勝手にパスワード設定されてたシステムアカウントのパスワードを消して(空パスワードじゃなくて、シャドーファイルのパスワード欄を*にしてログイン不可状態にして)、必要最低限のサービス以外はアクセスできないようにパケットフィルター設定して、動き回ってたsshのパスワードチェックプログラム止めて……ってやって。とりあえずまぁ、これで数日は時間稼げるだろ、って事で。一部「これは怪しい」って感じたrootで動いてたプログラムだけアップデート頼んでおいたけど(これはワシやると色々問題になるんで)
本当はすぐにでもLANケーブル引っこ抜きたいんだけど、まぁ、大人の事情で止められないっていうならしょうがないんで、とりあえずの時間稼ぎはやりました。てか、乗っ取られてることが分かってるサーバーで物売るのは良いのか? と思ったけど、その辺の判断はワシの仕事じゃないんで、リスクと対策を送りつけておきました。
で、まぁこんなのはまれに頼まれるんで、良くある話なんですが、あんまり良くある話じゃない話があったので特記事項として書いておきます。
sshで他のサーバーのアカウントチェックしてると思われるプログラムが保存してた、アカウント名とパスワードとIPの対応表が手に入りました(笑) 解析途中にローカルに落としてきてチェックしてたら「なんだこれ?」ってのを見つけて開いてみたらえらいもんが。
本物か? と思って試しにつついてみたら入れるであんの……しかもrootで。
sshサーバー立ち上げてる人、とりあえず今すぐにrootでログインできないようにしてください。超迷惑です。
あと、(多分実際にログインできる)パスワードリストも手に入れたのだが……最近の辞書+パスワードアタックって凄いね。
試したのは1つだけだけど(不正アクセスになるのかなぁ……でも信憑性確かめるときは試すしかないんだよねぇ……)、多分他のも行けると思うので、辞書攻撃によって解析されたrootパスワードを晒してみたいと思います(笑) よーするにこういう感じのパスワードつけてると、辞書攻撃で突破されるよ、って事で。
目立って多かったの「2wsxcde3」「root123」「P@ssw0rd」「admin123」「1qazxsw2」「sms123sms」「1qaz.root」。これ以外にも、ドメイン名そのままとか、適当に数桁の数字加えただけの単語、oと0(オーとゼロ)を入れ替えた単語、aと@を入れ替えた単語、単語末尾のsをzに変えた単語、適当に単語を.(ドット)とか「 」(半角スペース)で繋いだ文字列は軒並み突破されてました(もちろんこれらの組み合わせもアウトです)。時々「なんでこのパスワード分かったんだろう?」ってのがあったんですが、0をoに、@をaに、zをsに、.を削って数字を削って、正順/逆順にすると、単語(見た範囲内では最大2単語の組み合わせ)になるよーなのもアウト。ここで言う単語とは、英単語以外に「よく使われるPC用語」とか「人の名前」とか「キーボード配列の順に入力した物」も含みます。それらを2個程度組み合わせて、それっぽい変換かますのは大体突破されてますね、これ。
辞書攻撃って言うけど、なかなか侮れません。キーボードの配列使ったタイプのパスワードも突破されてたし、今回ビックリしたのが「キーボードの配列使った日本語パスワード」も突破されてたこと。「半角文字しか来ないんだろ?」という概念はもはや通用しませんね。
で、ここまでが辞書攻撃の脅威。
「おまえらなめとんのか」ってパスワードもかなりの数ありました。rootユーザーにrootとかadminとかpasswordとかつけてリモートからrootログイン可能にしてあるとか、ちょっと管理者の頭を殴り倒したくなる感じです。
パスワードは出来るだけランダムに、記号入りで決めましょう。「覚えやすい」パスワードは、大体辞書攻撃で突破されてます!
ランダムにパスワード作って、それをメモっておいて、パスワードメモリスト全体をちょっと長めの文章をパスワードにして暗号化しておく、とかの方が安全です。
それ以前にRSA(公開鍵)認証onlyの方が良いよ~ ってのには同意しますが。まぁそれが使えない環境とか、「いざというときに」パスワードログインしたいとか色々あると思うので、パスワードはマジで気をつけましょう。
まぁ今日の収穫(?)はそんな感じで。
ん? 入手したパスワードリスト公開しろ?
それは犯罪だ!(笑)
◆ [日記] 今日の作業曲は、ロウきゅーぶ! キャラクターCD バージョン (TVAロウきゅーぶ! OPアレンジ) SHOOT! - No.8 MIX- (袴田ひなたVer)、TVアニメ「ゆるゆり」 OPED ゆりゆららららゆるゆり大事件,マイペースでいきましょう、ゆるゆりのうたシリーズ♪03 ミラクるゆるくる1・2・3(歌:歳納京子/CV:大坪由佳)より、ミラクるゆるくる1・2・3、キラキラ☆everyday、nexusでした
もはやお約束。
かなり前のHBGaryの件といい、passwordとかrootとかadminとか全文字同じとか並びとか・・・なめとんのか、という感じですね。
root:rootとroot:passwordとroot:adminの3つだけチェックしてIP総なめしてくプログラム作ったら、大量にヒットしそうやね。
おつかれさまです。 <br> <br>パスワードはシステムアカウントなら、システムでランダム生成しかしない、とかでもいい気がしてきましたね。 <br> <br># この踏み台にされたサーバはセキュリティホール突かれただけで、パスワードは大丈夫だったのかな?
【Mtakaさん】 <br> <br>>システムでランダム生成しかしない <br>大抵はヒットしないはずなんですが、生成アルゴリズムが公知(例えばフリーソフト)で、ランダムに使ってるのがC言語のrand関数とかの周期が短いとかseedによって固定される系の乱数(最悪なのは時間を与えてるとか)だと、辞書攻撃には強くても、予測可能なパスワードが出来上がります……(というのをこの間友達と話してました) <br>本当の意味でランダムなLinux/FreeBSDの/dev/random使うとかしないと、ソフトで自動生成はかなり難しいですね。 <br>私はもっと原始的な方法でパスワード作ってます。 <br>「メモ帳開く」→「キーボードの上に適当に何か落とす」→「シフトキー押したままでキーボードの上に何か落とす」→「使えない文字を消して適当にシャッフル」って感じで(笑) <br>気をつけないとキーボードの中央の文字ばっかりになるんで、平らな物体を落とすと良いです。かなり予測不可能なランダムっぽい文字列が出来上がりますよ(笑) <br> <br>># この踏み台にされたサーバはセキュリティホール突かれただけで、パスワードは大丈夫だったのかな? <br>不明です。システムアカウントの一部に知らないパスワードが設定されてたぐらいで、ユーザー/rootアカウントのパスワードは変更されてませんでした。 <br>ただ、rootになれば、ハッシュ済みのパスワードリストを入手できるので、解析されてる可能性はあります(もっと簡単にやるならsshとかsuとかのプログラムをいじって入力された文字を記録しておくだけでも良いです) <br>が、乗っ取られ方を見るに、「狙って攻撃した」のではなく「適当につついたら乗っ取れたサーバー」っぽいので、そこまで解析されていない可能性が高いです(パスワード解析労力に見合うほど得る物が無いはずなので) <br>推測が違ってて「狙って攻撃された」場合はパスワードも漏れてる可能性も十二分に考えられますが、その時はあんだけ派手にあからさまに怪しいプロセスを大量に走らせて、アクセス先が見えるような状態でsshのアタックしたりはしないでしょうね……。サーバー管理者の初心者に近い人が見ても「何か変なことが起きてる!」って分かるレベルなので。 <br>load aveめちゃ高いとか、psってやるとssh-scanって名前のプログラムが山ほど走ってるとか、netstat -anってやると1万行近く同じIP範囲の22番ポートにアクセスしまくってる痕跡があるとか、狙うにしてはその後の扱いがずさんすぎます。 <br>……さすがにバックドアっぽいプログラムのファイル名は非常にありふれた名前になってましたが、まぁそれぐらいは普通するでしょうし。 <br> <br>あと、基本的に私は「とりあえず数日持てばOKな状態に近づけて」という基準に従っただけなので、さすがにその後の状態に対しては責任は持てません……。 <br>さすがに移行先ではパスワードは変更すると思いますし(全く同じ設定で作ったら同じ方法で乗っ取れてしまいますしね……)、その辺はあんまり心配してないです。 <br>が、同じパスワードとかやりかねないな……(笑)