セキュリティーの最近のブログ記事

サーバーの踏み台目的の不正アクセスの件 です。

cgi への不正アクセスの発見から、それへの対策をまとめてみました。

今年に入ってから、 1つの cgi へのアクセスが急に増えたので、Apache　のログを調べて対応しています。
かなり前に、自前のサーバーを導入して数年後に、レンタルサーバーの公開機能として、Apache ログを解析しやすいように、
Perl でCGI を組んで置いたのが、今、大変役立っています。コッホ!!

Apacheアクセスログの機能としては、
1) 日別のアクセス数の一覧
2) １日内での、ページ (html,cgi,php) 毎のアクセス数の一覧
3) さらに、その１ページに関して、
   - アクセス元 ip 毎のアクセス数の一覧
   - 参照元および参照内容 の一覧
   - 生ログの表示
があれば、不自然なアクセスを見つけやすいです。

それは、さて置き、どうやら、cgi の不備をついて、別のサイトへリダイレクトさせる、URL をしきりに送りつけているようです。
当初、cgi の簡単な修正で、外部の URL へのリンクを出さないで、'/' の出力のみにして、様子を見ました。
それでもアクセスが減らないので、それならと cgi をリネームして、http エラーで返すようにしました。

なので、エラーが表示されて、リダイレクトされないので、送りつけてきても意味が無いのですが、
それでも、旧 cgi名称 でしきりにアクセスしてきます。
数日様子をみていましたが、サーバーへの不正アクセスのトラフィックが一向に減らないので、
これでは、いけないと思い、次の対策をこうじました。

最近のMSN の記事には、ウイルスに感染されたページが本当に多い。

普段通りに記事を見ていると、一日に一回は、必ず、　"Windowsシステムの修復が必要です。" とか言うポップアップが表示されるページにリダイレクトされる。

そのたびに、ブラウザーのプロセスを止めて対応しないといけない。

MSNの管理者は、なぜほったらかしにしているのだろうか?
記事を登録している所が、ハッキングされているのに、
何も対応しないのだろうか?

一昨日あたりから、サーバーに smtp auth で不正アタックが続くようになりました。

messageログには、下記、ログが大量に出力されていました。

Nov 23 16:53:33 ns1 saslauthd[6761]: do_auth : auth failure: [user=vernon] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]