バンコクとビエンチャンでサーバのセキュリティチェックを行う。

タイとラオスでサーバのセキュリティ監査サービスを提供しています。

お客様がサーバにログインできないというので、
対象のサーバをチェックしに行きました。

パスワードの間違いということはあり得ないということでしたが、
まずは念のため、再度、パスワードを入力してみました。

結果はNG。

シングルユーザーモードで起動することにしました。

Windowsにはありませんが、CUIが基本のLinuxやUnixのOSでは、このようないざというときに頼りになるメンテナンスモードがあります。

root権限で起動し、管理者のみが操作できます。
CUIからのコマンドラインでのオペレーションのみ可能です。

起動後にpasswdコマンドで指定されたパスワードをセットしました。

OSのKernelやインストールされているパッケージのバージョンを取得したところ、
7年以上前から特にアップデートされていないことが分かりました。

パスワードが不一致した事象が気になり、システムの監査をご提案したところ、お客様からすぐにご了承頂けました。

ログインの履歴を確認したところ、覚えのないログイン履歴が多く存在しました。
またトロイの木馬と呼ばれる、バックドアプログラムもインストールされていました。

インストールされている、あるパッケージのセキュリティホールを突かれた可能性がありました。

これはバッファオーバフローを利用した攻撃で、プログラムコードのアドレス管理の不備を利用したものです。
ルート権限での実行を許可する、setuid bitが設定されているプログラムでバッファーオーバフローが起こると、ルート権限で任意のコマンドを実行することが出来るというものです。
結果、ルート権限の取得が可能となります。

この手の攻撃はASLRという、アドレス空間をランダムに変えて、クラッカーがオーバフロー後にポイントしたいアドレスを容易に把握できない様にする仕組みで大きく改善するのですが、この頃のOSのKernelのバージョンはそれが導入される以前のものでした。

今回、物理的なHWスペックやOSやパッケージのバージョンが古く、
また一度、クラッキングの被害にあったこともあり、お客様側で新規のサーバをご要望となりました。

新しくご契約頂いた弊社のサーバは、セキュリティ対策が施されています。
(お客様の希望もあり、不要なサービスポートは全てクローズしました。)

今回の対象のサーバは7年前は最新の状態だったのですが、
その後のメンテナンスがされていませんでした。
最低限のセキュリティパッチの適応だけでも今回の事象を回避できた可能性があります。

サーバのセキュリティ対策は継続的に行うことが重要ですので、
定期的にサーバのセキュリティチェックを行うことをお勧めいたします。