2015/01/29

Linuxで『glibc の深刻な脆弱性』

Debian公式『セキュリティ勧告』メーリングリストからお知らせが来ていました。
[SECURITY] [DSA 3142-1] eglibc security update

別情報では、多くのLinuxでの『glibc ライブラリにバッファオーバーフローの脆弱性』だそうです。
http://jvn.jp/vu/JVNVU99234709/



当初はあまり真剣に受け取っていなかったのですが、緊急性があるとのこと。
http://japan.zdnet.com/article/35059585/

すぐにDebianをupdate/upgradeしてからサーバーを再起動させました。

(株)バッファローの製品にも該当製品あり、調査中とのことです。
BBR-4HGのルーターなどに関連しないかどうか、注意しておかなければ。。。

2015/01/28

航空管制シミュレーション

航空管制(塔)シミュレーションゲームにはまっています ^^)
これ、Webベースで無料なんだけど、すっごいわぁ~~。
http://www.atc-sim.com/



神戸空港なら交通量は少なくて何とか管制できるのですが、関西空港は交通量が
多くて、パニックになりそうです。(SSは関西空港)

有料のは音声での制御もOKらしいですが、英語ではね~~><

2015/01/23

『googlebot.com』さんのご光臨?

9000/tcp(Opensimサーバー用)への接続記録に以下のアドレスが残っていました。
66.249.64.182

調べてみると、『米国 crawl-66-249-64-182.googlebot.com』ですって。
googleさん、何を調べてるのかな?



OpenSim.logを調べてみても、viewerからの接続では見当たりません。
(↑ あたりまえ!)

80番でWeb-serverへの接続なら理解できるのですが。。。。。

『成りすまし』かな?

-----------------------------------------------------------------------
(追記150124)
先ほど2回目のアクセスがあり、やはりあやしいです。
久保様コメントを拝見し、ブロックすることにしました ^^)
-----------------------------------------------------------------------

2015/01/21

フランス『boson***.ahrefs.com』からの接続って?

中国、オランダから9000/tcp(Opensimサーバー用)へのport-scanは防御できたみたいですが、フランスから1週間に数回にわたって奇妙な接続がありました。
188.165.15.66  boson001.ahrefs.com
188.165.15.59 boson090.ahrefs.com
188.165.15.98  boson066.ahrefs.com

調べてみると、被リンク状況を調査するフランスのサイトだそうです。



リアルタイムのネット攻撃Mapを見ていると、フランスも要注意国で気にしていましたが、まあ害がなさそうなのでこのまま放置して様子を見てみます~。

2015/01/15

Debianの『security update』お知らせメール

セキュリティ関連のマイブームがまだ継続しています。
今朝、Debian公式『セキュリティ勧告』メーリングリストの講読登録をしました。

先ほどメールが届いて、security-updateがあるのを知りました。


当然、すぐにupdate、upgradeしました。
これ、すっごく便利だわ~~ ^^)

オランダ経由の『覗き魔』かな?

昨日、9000/tcp(Opensimサーバー用)に以下のIPからPort-scanがありました。
93.174.93.51

『IP広場』で検索してみると
ホスト名:    server.anonymous-hosting-service.com
IPアドレス割当国:オランダ ( nl )

怪しい名前なのでぐぐってみると、秘匿目的のNameサーバーみたいで、Malware送り込みやフィッシング詐欺に以前は使用されているみたいです。



FirestormやSingularityを使用しての接続なら、ここ経由にならないですよね~?

利用者はオランダとは限りませんが、さっそく接続お断り処理です。
$ sudo ufw insert 4 deny from 93.174.93.51 to any port 9000

iptables -L で見ますと、host-nameに変換されてますね~ ^^)

2015/01/13

opensslの脆弱性がまた修正されましたね~

3日ぶりにdebianのupdateをしてみると、opensslが対象になりました。
ぐぐってみると、以下の記事が公開されてます。

『OpenSSL、計8件の脆弱性を修正 (2015年01月11日 16時19分)』
http://it.slashdot.jp/story/15/01/10/2242203/

いずれもDTLSに関するもので、悪用するとDoS攻撃が可能になるらしいです。



アタシところのは、upgradeしたのですが、1.0.1e で改定されたのかな?
しばらくは要注意ですw

2015/01/12

<ネット攻撃対策> 中国一部からのportscanを拒絶処理

先日からOpensimサーバーへportscanをかけてくる中国IPを拒絶することにしました。
(アタシんところのOpensimサーバーへ本当に来られる中国人なんていないはず~?)

IPアドレスからNetworkアドレス・マスクを、以下のところで計算しました。
http://www.cityjp.com/javascript/network/ipcal.html

数回以上のportscanをかけてきたところは、以下の通りです。
123.151.42.61   CHINANET-TJ  天津
125.64.35.68  CHINANET-SC  四川
183.60.48.25  CHINANET-GD  広東

旅行で行った天津や広東が目に浮かびますが、無法者を放置するCHINANETはダメ!
ufwにて上位行でブロックするルールを以下のように追加します。
$ sudo ufw insert 1 deny from 123.151.0.0/16 to any port 9000
$ sudo ufw insert 2 deny from 125.64.0.0/16 to any port 9000
$ sudo ufw insert 3 deny from 183.60.0.0/16 to any port 9000



IPアドレスからネットワークアドレスに変換するところが、自信ありません。
個々のHostを羅列するのは、今後とも骨が折れそうで、広めにブロックします。

iptablesで確認しておきます。
$ sudo iptables -L



Chain ufw-user-input (1 references)
target     prot opt source              destination
DROP       tcp  --  123.151.0.0/16      anywhere      tcp dpt:9000
DROP       udp  --  123.151.0.0/16      anywhere      udp dpt:9000
DROP       tcp  --  125.64.0.0/16       anywhere      tcp dpt:9000
DROP       udp  --  125.64.0.0/16       anywhere      udp dpt:9000
DROP       tcp  --  183.60.0.0/16       anywhere      tcp dpt:9000
DROP       udp  --  183.60.0.0/16       anywhere      udp dpt:9000
ACCEPT     tcp  --  anywhere            anywhere      tcp dpt:9000
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9000
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9001
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9002
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9003
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9004
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9005
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9006
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9007
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9008
ACCEPT     tcp  --  192.168.**.**       anywhere      tcp dpt:****
ACCEPT     udp  --  192.168.**.**       anywhere      udp dpt:****

念のため再起動をかけておきます。

イタチごっこになるかも知れませんが、楽しみながら追加していきます。
踏み台にされる前に、きちっと防御しておきたいですよね。

-----------------------------------------------------------------------------
(追記150114)
ネット名の指定が不適正で、以下のように修正追加しました。
(情報元 http://www.ip2location.com/free/visitor-blocker )

$ sudo ufw insert 1 deny from 123.144.0.0/12 to any port 9000
$ sudo ufw insert 2 deny from 125.64.0.0/11 to any port 9000
$ sudo ufw insert 3 deny from 183.0.0.0/10 to any port 9000
$ sudo ufw insert 4 deny from 183.64.0.0/13 to any port 9000

2015/01/11

<ネット攻撃対策> rootkit仕掛けの検出方法(2)

前にクラッカーが侵入後にしかけるrootkitを検出するchkrootkitをインストールしました。
http://kimikodover.blogspot.jp/2014/12/rootkit.html

今回は、これと同等(補完?)機能のrkhunterをインストールしました。
$ sudo apt-get install rkhunter

実行は、
$ sudo rkhunter -c



でも以下のファイルが怪しいとのWarningが出ます。
/usr/bin/unhide.rb

ぐぐってみると、これは誤検出とのこと。
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=695099

そこで、これの誤Warningが出ないように設定ファイルを修正します。
$ sudo nano /etc/rkhunter.conf で以下の1行を追加
SCRIPTWHITELIST=/usr/bin/unhide.rb

これでWarningがなくなりました。



logwatchからの報告とあわせて、1日1回のチェックが安心かな~ ^^)

2015/01/10

<ネット攻撃対策> 中国から portscan されてるな?

OpenSimで外部開放している9000/tcpに、怪しげな接続記録がiptrafに残っていました。



http://www.iphiroba.jp/index.phpで調べてみると、全部中国からです。
しかも、対応するホスト名なしです。

123.151.42.61   中国 初回
125.64.35.68  中国*3回目
183.60.48.25  中国*2回目

ルーターからのアドレス変換は9000/tcpと9000-9008/udp
Firewallで開いているのも同じです。

iptrafではtcpの全ポートを監視しているのですが、ルーター設定が効いて9000/tcp以外の接続記録はありません。

未使用の9001/tcpのアドレス変換を開通させて、おとり監視してみるかな^^)
( ↑ port-scanなら多分連番で接続してくる?)

2015/01/04

<ネット攻撃対策> logwatch のすばらしさ!

Debian-7.70-amd64に入れ替えてみましたがlogwatchにKernel-errorが記載されます。
そこで、原本logの/var/log/dmesg を調べてみました。

[0.350607] ACPI Error: No handler for Region [ECRM] (ffff88013ae6ecd8) [EmbeddedControl] (20110623/evregion-373)
[0.350620] ACPI Error: Region EmbeddedControl (ID=3) has no handler (20110623/exfldio-292)
[0.350633] ACPI Error: Method parse/execution failed [\_SB_.PCI0.SBRG.EC0_._REG] (Node ffff88013ae71948), AE_NOT_EXIST (20110623/psparse-536)
[6.446327] Error: Driver 'pcspkr' is already registered, aborting...
[8.671898] EXT4-fs (sda1): re-mounted. Opts: errors=remount-ro

Error発生タイミングはいづれもboot-upのときですね。
確かに昨日は4-5回停止・立上げをやりました。

『Debian ACPI error』でぐるると、案外有名みたいです。
3個のACPIエラーはどうも原因が同じみたいかな~?

ACPI Error: Method parse/executionについては、『問題が発生していないのなら、気にするな』って記載もありました。

実際問題として、PowerON、PowerOFF操作にはまったく支障がないです。
XS35機はファンレスで、これの回転数制御も不要なんです。。。。^^)

4番目の'pcspkr'は、『すでに入っているので、搭載中止』で問題なしかな?
まあサーバーに音は不要かもね?  ^^)

5番目のEXT4-fs (sda1)は、error時のオプション定義でこれも問題なしかな?
今まで1年以上も問題なく稼動していたし・・・・・

以上、自己ちゅ~的解釈で、このまま使用してみることにします~ ^^)
逆に電源の瞬停・再起動が検出できて良いじゃん? ←言い訳するな!

んで、タイトル『<ネット攻撃対策> logwatch のすばらしさ』は筆舌しがたく、以下の画像添付でご勘弁くださいませ~~。

とにかくすごいです。
chkrootkitと併せれば、『ネット攻撃対策』が少しは前進するでは?

--------------------------------------------------------------------------------------
(追記)
Debian-7.70-amd64では、残念ながらDiceが動きませんので、32bit版にOSを変更します。
構成はまったく同じにする予定です。
--------------------------------------------------------------------------------------

 
 





 



2015/01/03

<ネット攻撃対策> logwatch での健康診断>重症だ?

日々のLogをチェックして見やすくするlogwatchをインストしました。
これもネット攻撃対策なんです ^^)

でもこれには避けていたmailサーバーが必要になります ><
Debian-desktopではデフォで入っていますが、最小構成では入っていません。

先日は余分と思って、わざわざこれをはずしたのに。。。。><
そこでexim4をlocalhost内限定でインストしました。
(これなら外部へ迷惑をかけないかも ?)

インストでは以下のブログを参考にさせていただきました。
http://www.linux.net-japan.info/install06.html

今朝の6:25に、さっそく1日1回のレポートがmailで届いています。
内容はすっごくすばらしいものです。

が、Kernel関連の記載で御屠蘇気分が吹っ飛びました。。。。><
 WARNING:  Kernel Errors Present
    ACPI Error: Method parse/ex ...:  2 Time(s)
    ACPI Error: No handler for  ...:  2 Time(s)
    ACPI Error: Region Embedded ...:  2 Time(s)
    EXT4-fs (sda1): re-mounted. Opts: errors=remount-ro ...:  2 Time(s)
    Error: Driver 'pcspkr' ...:  2 Time(s)



う~~ん、電力制御関連らしいけど、、、

Kernelのversionを見直すと、、、、
$ uname -r
3.2.0-4-686-pae

ぐぐってみると、ACPI関連エラーが良くあるみたいね。。。。
でもピッタンコのは無いわ。

う~~~ん、参ったw

いあ、これでしばらくは遊べるじゃん ^^)
OSを再インストして、ステップごとにいつ発生するのかを見るかな?

2015/01/02

<ネット攻撃対策> nmap ツールは怖いなぁ

SNSでベテランの方にお教えいただいたnmapをインストールしました。
開放ポートや 脆弱性を確認したりする「セキュリティ確認」パッケージです。

Debianでのインストールは、
$ sudo apt-get install nmap

これで自宅サーバーを調べてみました。
$ nmap 192.***.***.**      (tcpチェック)
$ sudo nmap -sU 192.***.***.**  (udpチェック)

SSはどちらもLan内のローカルアドレスで調べたものです。



ここで、自宅サーバーの外部名『kimikodover.sun.ddns.vc』で調べたところ、ルーターのDIAG赤ランプがしばらく点灯し、どうもルーターのリセットがかかったみたいです。

その後は、JOGに接続しているSimへINできません ><
JOGのホームページでチェックすると当方のサーバーは正常に働いています。

ということは、ルーターのNATループバックが壊れたか、Packet-scan犯と認定されてブロックされたかの、どれかですw><

ルーターの電源をしばらく遮断してリセットしてみましたがだめです。
仕方なしにルーターを工場出荷初期状態にもどし、ついでにファームウェアを更新しました。

なおアドレス変換は、tcpは9000だけで良いのに気づき、以下のようにしました。
連動して、Firewall での9001-9008/tcpも閉じておきます。



変換は20項目までなので、あと数個のサーバーは立上げできそう ^^)
とりあえずこれでNatループバックが正常に働きだしたみたいで、同一LAN内の端末Viewerからも接続できるようになりました。(ふ~~)

でもこのnmap、使い方を誤るととんでもないことを起こしそう。
さらに-Dオプッションで、こちらのIPアドレスを偽ってスキャンできるみたい。
ステルススキャンってのも可能みたい。

ということは、ポートスキャンを検出してIPブロックかけても無意味ってこと?
これ、防御だけでなく、攻撃側への武器にもなるじゃん @@)

私みたいな初心者には、lsofで十分かもw ?
攻撃側に間違えられないよう、もうnmap触るのは止めておこう~ ><