トピックス記事     カテゴリ :ネットとサーバー

hosts.denyと hosts.allowで侵入阻止


ガンブラー(Gumblar)を門前払いする

ガンブラー(Gumblar)でFTPのパスワードを盗まれ、サイトに不正アクセスされて書き換えられる被害が目立っている。
Gumblarが関わる手口は、おおよそのところ
  • パソコンにTROJ_DROPR.GBが、潜り込む。
  • TROJ_DROPR.GBは、TSPY_KATES.SMOD(カテス)というプログラムを作り、レジストリを書き換えたあと消滅する。
  • TSPY_KATES.SMODは、ネットワークのトラフィックを盗み見て、webサイトの管理パスワードを 193.104.12.20、210.51.166.228、67.212.81.67、91.215.156.74などに送信する。
  • 盗んだパスワードでサイトにアクセスし、webページを改ざんしてウイルス(Gumblarというプログラム)を仕掛ける。
  • 改ざんしたwebページを表示するとウイルスに感染する。
といったものだ。
大手企業などのサイトの書き換え被害が明らかになっているが、パスワードを盗まれてもFTPでサーバーにアクセスできなければ、webページを書き換えられることはない。

TCP Wrapperの設定

TCP Wrapperの設定で FTPのアクセスを制限し、サイトの意図しない書き換えを防ぐことができる。

TCP Wrapperは、inetdで起動されるサービスに対するアクセスをportごとに制御したり、通信履歴をとることができるソフトウェアで DebianではDefaultでinstallされている。
inetdで起動されるサービスはinetd.confに記載されており、 hosts.deny、hosts.allowファイルにこれらのサービスのアクセスを許すドメインやホストを指定することで、危険なホストからのアクセスを遮断することができるようになる。

基本的な設定は、hosts.denyですべてのサイトのアクセスを不許可にし、hosts.allowで指定したホストだけアクセス可能にするというやり方だ。

hosts.denyの設定

ALL:ALL

hosts.allow の設定

ftpの接続許可を指定するなら次のようになる。
proftpd:      .sample.or.jp      EXCEPT PARANOID
      ↑ sample.or.jpからのftpのアクセスを許す
proftpd:      .sample.com      EXCEPT PARANOID
      ↑ sample.comからのftpのアクセスを許す
proftpd:      192.168.10.0/255.255.255.0      EXCEPT PARANOID
      ↑ 192.168.10.0-255からのftpのアクセスを許す

sshd: .plala.or.jp EXCEPT PARANOID
#in.telnetd: 202.414.256.456/255.255.255.240
      ↑ telnetを利用したい時はコメントを外す
telnetを、ネットワーク内だけでは許す設定もできるが、不要なサービスは少ない方が危険が少なくなる。メールサーバーのテストで使うこともあるが、Debianのパッケージの導入は aptitude install telnetd-sslでできるのだから、普段は消しておいたほうが確実だろう。

これらの設定はサーバーインストール時に接続するユーザのipアドレス、ドメインに合わせて行なう。ユーザのISPの変更があればそれに合わせて hosts.allowの記述を変える。細かい設定をすると運用が大変になるので、ドメインなど包括するような範囲で制限するのがいい。

上記の場合、sample.or.jp、sample.com以外からftpの接続できない。
たとえ正規のユーザ名とパスワードを使っても、sample.or.jp、sample.com以外からは、サーバーにアクセスできなくなるということである。

設定の確認は、tcpdmatch 、tcpdchkで行う。
sshdは inetd.confに記載されていないので TCP Wrapperの対象外になる。

この設定では、サーバーにアクセスしたとき接続を拒否されるが、ルーターでフィルタリングすれば、ネットワークに入る前に弾くことができる。

Gumblarの変異にも対策

サイトの書き換えはこの方法で対策できるが、FTPのパスワードを盗まれることを阻止できるわけではない。

今のところ Gumblar関係はサイトの書き換えでマルウェアを読み込ませる手口だが、パスワードを売り渡したり、セキュリティの甘いサーバーから重要なデータを盗み出して売ったりするケースも考えられる。
sslで送信される銀行やカードなどの情報を盗み、クラッキング辞書などで解析し、そのユーザに成りすます犯罪もありうる。

FTPのアクセスログ、syslogなどを定期的にチェックし、あやしいアクセスに注意する必要がある。



Comments

Add Comment

このアイテムは閲覧専用です。コメントの投稿、投票はできません。
 
Copyright | 8 Peaks Inc. | Saku City NAGANO | 0267-82-7082 | Back to top