- 2004年10月 7日 23:28
- Linux
logwatchから受けたメールを眺めていたら、sshdのログの部分に
自宅のプライベートIPでも大学のIPでも無いIPを見つけてしまって、
記憶を探っても全く思い当たる節が無い。
しまったやられた!?
と思って朝から青く・・・ ログが残っている現時点でrootまでは取られていないのではと仮定し
別ユーザーからrootになり /var/log/secure を覗いてみると、確かに見知らぬIPが正規の手順で入っている。
セキュリティー対策をいくつも施したsshdから正規のユーザーで入られたと言う事は。
- 基本的にUSBメモリにしかないはずのRSA秘密鍵を何らかの形で盗まれ
更にはキーロガーで復号化のパスまで盗まれた == 少なくとも他にも何処かの端末が汚れている - 最新版であるはずのsshd or open_sslの脆弱性を疲れた(ゼロデイアタックを受けた)
- 22番ではそのIPから入れない為port scanを受けて更にはバナーチェックが行われた可能性が高い
しかし簡易なport scanはiptablesで制限しているし、前日のログにはバナーチェックらしき点は無かった
== わずか半日から一日の間でターゲッティングから事前調査、クラッキングまで行った計算になる。
相手がクラックを職業にする人間でも、そこまでスマートに事が進む程甘い設定にはなっていないはずだし
それだけの技術を持った人間がログなんて残すはずもなければrootまで到達しない事も考えられない。
そう考えて可能性を例外まで広げてみると・・・
大学が帯域不足を補う為、プロキシサーバーに対して一般家庭向けのFTTHを一つ引いたのを思い出した。
一般家庭向けの回線なら大学所有のIPなんて使う事は出来ず、当然一つグローバルIPが割り当てられるはず。
だが、あくまでプロキシサーバー用であって構内のネットワークには接続されないという話だった。
で、何度か端末からtracerouteをかけてみると、大学を出る地点が違う事が時たまある上
そのIPがログのIPと一致 詳しく調べてみると、ロードバランサーが入っていた。
要はFTTHのルーターがNAPTをグローバルIP同士でやってるって事か? 何て無駄な(==;
そして結論は自爆テロ? やるせなくなってきた。
何処のどいつだ、構内のネットワークに接続はしないとか言った奴は!(ノ-o-)ノ ┫∵:.
# 接続するならするで逆引きの登録しとけよなー って感じでもあるんですがね。
