おかげさまで16周年 障害報告|アダルトレンタルサーバーはPOPWONDER

障害報告

2014年03月18日

ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起

毎度格別のお引き立てを賜り厚く御礼申し上げます。
平素は弊社レンタルサーバーをご利用頂きまして誠に有難うございます。
さて、JPCRET/CCよりntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起に関する注意喚起が発出されました。
専用サーバー・VPSサーバーをご利用になられているお客様におかれましては十分ご注意頂きますよう、宜しくお願い致します。
以下が注意喚起の内容です。
-----BEGIN PGP SIGNED MESSAGE-----
各位

JPCERT-AT-2014-0001
JPCERT/CC
2014-01-15

<<< JPCERT/CC Alert 2014-01-15 >>>

ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140001.html


I. 概要

NTP Project が提供する ntpd の一部のバージョンには、NTP サーバの状態
を確認する機能 (monlist) が実装されており、同機能は遠隔からサービス運
用妨害 (DDoS) 攻撃に使用される可能性があります。

NTP は、通常 UDP を使用して通信するため、容易に送信元 IP アドレスを
詐称することができます。また、monlist 機能は、サーバへのリクエストに対
して大きなサイズのデータを送信元 IP アドレスへ返送するため、攻撃者は攻
撃対象の IP アドレスを送信元 IP アドレスに偽装した問い合わせパケットを
NTP サーバに送信することで、大きなサイズのデータを攻撃対象 (Web サイト
など) に送りつけることができます。

JPCERT/CC では、ntpd の monlist 機能を使った DDoS 攻撃に関するインシ
デント報告を受けています。また、JPCERT/CC が運用するインターネット定点
観測システム (TSUBAME) *1 においても、NTP サーバを探索するパケットが増
加していることを確認しており、今後も同攻撃が継続すると想定されます。

*1 JPCERT/CC が運用する、アジア・太平洋インターネット定点観測システム
https://www.jpcert.or.jp/tsubame/

自身で運用しているサーバや、使用しているネットワーク機器に NTP サーバ
機能が組み込まれていて、知らない間に DDoS 攻撃に使用される可能性も考え
られます。自身の運用しているサーバや、使用しているネットワーク機器で
ntpd が稼働しているか確認し、適切な設定を行うことを推奨します。


II. 対象

NTP Project の情報によると、以下のバージョンが影響を受けます。

ntpd 4.2.7p26 より前のバージョン
*) 安定版の 4.2.6.x は全て影響を受けます。

以下のコマンドで ntpd のバージョンを確認することが出来ます。

ntpq -c rv


III. 対策

NTP Project から monlist 機能の一部を修正し、DDoS 攻撃の影響を低減さ
せた開発版の ntpd が公開されています。ntpd を使用した NTP サーバを公開
している場合は、修正済みのバージョン以降の開発版の適用を検討してくださ
い。

修正済みのバージョンは、以下のとおりです。

ntpd 4.2.7p26(開発版)

また、開発版の適用が難しい場合は、以下の回避策の適用を検討してくださ
い。

- ntpd の設定により、monlist 機能を無効にする
ntp.conf に以下の1行を追加
disable monitor

その他の回避策については、以下の CERT/CC の情報を参考にしてください。

CERT/CC Vulnerability Note VU#348126
NTP can be abused to amplify denial-of-service attack traffic
https://www.kb.cert.org/vuls/id/348126

ディストリビュータが提供している ntpd をお使いの場合は、ディストリ
ビュータなどの情報を参照してください。

また、NTP サービスを外部に提供する必要が無い場合は、外部からの NTP
サーバへの通信を制限することも検討してください。


IV. 参考情報

NTP Project
DRDoS / Amplification Attack using ntpdc monlist command
http://support.ntp.org/bin/view/Main/SecurityNotice#DRDoS_Amplification_Attack_using

CERT/CC Vulnerability Note VU#348126
NTP can be abused to amplify denial-of-service attack traffic
https://www.kb.cert.org/vuls/id/348126

Japan Vulnerability Notes JVNVU#96176042
NTP が DDoS 攻撃の踏み台として使用される問題
https://jvn.jp/cert/JVNVU96176042/index.html

NetBSD
NetBSD Security Advisory 2014-002
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-002.txt.asc


今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。


======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

2014年03月18日

Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起

毎度格別のお引き立てを賜り厚く御礼申し上げます。
平素は弊社レンタルサーバーをご利用頂きまして誠に有難うございます。

さて、昨今フィッシングサイトによる被害が増加しており社会問題となっております。
セキュリティー対策を怠りますと、知らない間にお客様のサーバーが第三者に侵入され、フィッシングサイトが設置され加害者にされる危険性があります。
POPWONDER専用サーバーは root権限をお渡ししている関係上、こうした被害を防ぐためには、お客様ご自身でセキュリティ対策を実施いただく必要がございます。


以下はJPCERT/CCによるWeb 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起の内容となります。

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

JPCERT-AT-2005-0002
JPCERT/CC
2005-02-21(初版)
2012-01-05(更新)

<<< JPCERT/CC Alert 2005-02-21 >>>

Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起

Alert on Servers Used as Phishing Sites

https://www.jpcert.or.jp/at/2005/at050002.txt

I. 概要

JPCERT/CC では、セキュリティ対策が十分になされていないサーバが、侵入
を受け、Web 偽装詐欺 (phishing) の踏み台サーバにされているとの報告を多
数受けております。

特に、OS として Linux が使われ、且つ OpenSSH や telnetd を使ってリモー
トアクセスを許可しているインターネット常時接続のサーバに第三者が侵入し、
Web 偽装詐欺 (phishing) の踏み台サーバにするケースが多数見受けられます。

なお、Linux だけではなく、他の UNIX 系 OS や Mac OS X、Windows がイ
ンストールされているホストであっても、常時インターネットに接続されてい
るホストに関しては、同様の注意が必要です。


II. 予防方法

Web 偽装詐欺 (phishing) の踏み台サーバにされることを防ぐために、管理
対象のホストに於いて以下のような対策が行われているか、再度ご確認くださ
い。

(1) 不要なサービスを停止する
不要なサービスを提供しているプロセスを停止します。あるいは、
実行できないように設定します。

(2) サービスを提供する範囲を制限する
アクセス制御プログラムや、ルータのフィルタリング機能を利用
して、サービスを提供する対象 (クライアントホスト) を制限し
ます。

(3) システムの運用状態を監視する
提供しているサービスにおける稼働状況、接続している / 接続
したクライアントマシンの情報等を定期的に (可能であれば常時)
監視します。

(4) ソフトウェア管理を行う
最新のバージョンを使用する、セキュリティパッチを当てるなど
して、セキュリティ上の弱点が含まれるソフトウェアを使用しな
いようにします。

(5) ユーザアカウント管理を行う
パスワードのないユーザアカウントがないか、脆弱なパスワード
が設定されていないか、また、不要になったユーザアカウントが
残っていないかどうかを定期的にチェックします。併せて、ユー
ザに対して、パスワードの定期的な変更も促します。


対策を検討する際には、以下の URL で公開されている文書も併せて参照し
てください。

IPA/ISEC
小規模サイト管理者向け セキュリティ対策マニュアル
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/

セキュリティ はじめの一歩
http://archive.linux.or.jp/security/firststep.html

Linux Security HOWTO
http://archive.linux.or.jp/JF/JFdocs/Security-HOWTO.html

対策が行われていないホストを発見した場合、速やかに対策を施すことをお
勧めいたします。また、速やかに対策を施すことが困難な場合は、そのホスト
をネットワークから切り離すことをご検討ください。


III. チェック方法

管理対象のホストに Web 偽装詐欺 (phishing) の踏み台サーバにされた疑
いがある場合は、速やかにチェックすることをお勧めします。

その際のチェック項目やチェック手順については、以下の URL で公開され
ている文書を参照してください。

CERT Coordination Center
Intruder Detection Checklist (英語)
http://www.auscert.org.au/render.html?it=1973

* 元の CERT/CC のドキュメントがリンク切れになったため、AusCERT が
転載しているドキュメントにリンクしています。


IV. 対処方法

管理対象のホストが Web 偽装詐欺 (phishing) の踏み台サーバにされた場
合の対応については、以下の URL で公開している文書「コンピュータセキュ
リティインシデントへの対応」の V. および VI. を参照してください。

コンピュータセキュリティインシデントへの対応
https://www.jpcert.or.jp/ed/2002/ed020002.txt


V. 参考情報

OpenSSH サーバプログラムの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2002/at020004.txt

Linux の telnetd に含まれる脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2001/at010021.txt

フィッシング対策協議会
https://www.antiphishing.jp/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2005-02-21 初版
2012-01-05 II. III. のリンク切れを修正、V. 参考情報を追記

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/

2014年03月18日

SPAMの踏み台対策に関しまして

毎度格別のお引き立てを賜り厚く御礼申し上げます。
平素は弊社レンタルサーバーをご利用頂きまして誠に有難うございます。
知らない間にお客様のアカウントが第三者に侵入され、迷惑メール(SPAMメール)が配信されてしまったという報告が増えております。

SPAMの踏み台に関しまして、SMTP認証を各ユーザに課し運用している限り、第三者によるSPAMの踏み台になることは、通常ではまずありません。
SMTP認証を各ユーザに課さずに利用している場合、登録アカウントを使った、詐称によるSPAMの踏み台になる可能性があります。
ただし、SMTP認証を課していても、容易に類推できるパスワードでは、危険であることは何ら変わりませんので、容易に類推できそうなパスワードは絶対に避けて頂きます様お願い致します。

万が一、SPAMの踏み台に利用されてしまう可能性を考え、以下のような状況が起きていないか、日ごろからチェックしておく事をお勧め致します。
• 急に回線が重くなった。
• 異常なメールの遅配が発生するようになった。
• メールサーバの動作が極端におかしくなった。
• 見知らぬ所から苦情のメールが来た。
• 配信不能の大量のリターンメール等がメールの管理者宛てに届くようになった。
etc.....
もし、このような状況に遭遇した場合、以下の内容を確認してみましょう。

1.メールの受信ログ(inlog)やメール送信ログ(outlog)を採取しているときは、ログをチェックし、見覚えのない送信元アドレスからの送信の受領や配信がないか確認します。

2.「メールの作業フォルダ」下にある各フォルダにSPAMメールのデータが溜まっていないかチェックします。
 チェック箇所 → incoming、domains、holding、lists などのフォルダ内のようす。
 万が一、メールのデータが大量溜まっている場合、SPAMメールをサーバーが配信し続けている可能性がありますので、EPSTRS・EPSTDSのSMTPサービスを直ちに停止させてください。
 ファイル数が少数のときは、フォルダ内のデータ全てを削除するか、別の場所へ移動します。ファイル数が膨大になってしまっていて、削除の操作や移動の操作に支障があるときは、フォルダ名を任意の別名にリネームします。フォルダ名を別名にすることで、それらのフォルダはメールサーバの処理対象からは、完全に除外されます。

3.不正中継(SPAM)メールの受信拒否対策を行います。
 ここでは、見知らぬメール送信者から外部への送信を行わせないように設定します。その際、inlogやacceptlogを参考に、「中継の制限(effect.dat)」ファイルに送信元(IPアドレスやドメインなど)からの受領を拒絶するように定義します。

4.状況が許す限り、全てのユーザーについて、SMTP認証でのみメール送信を許可するように設定してください。

以上の対応が完了したら、EPSTRS・EPSTDSのSMTPサービスを再開して下さい。

また、踏み台にされてた場合、いくつかのRBLサイト(DNSBLサービス)に「ブラックサイト」として、登録されてしまっている可能性もあります。自身の管理するSMTPサーバーが登録されていないか確認し、登録されている場合は、解除の手続きが必要になります。できるかぎり、有力なRBLサイトを訪れ、チェックを行うようにしてください。

 RBLサイト例:spamcop.net

なお、自身のSMTPサーバーが踏み台にされていないのに、「SPAMメールがあなたのサイトから送られて来る」といったメールが届くことがあります。これらは、「あなたの管理するドメイン管理するメールアドレス」を送信元として、第三者のSMTPサーバーを踏み台にした送信によるケースもあります。
どこを中継しているかは、メールヘッダの"Received:"ヘッダを参照することにより、判別することが可能ですので、確認してみましょう。


もし万が一お客様のアカウントがスパムの踏み台にされた場合、速やかに弊社側に連絡して、弊社側の指示に従ってください。

以上、宜しくお願いいたします。

新規のお客様

お申し込み DEMO画面 無料お試し10日間 お見積もり お問い合わせ よくある質問サポートマニュアル

新規ドメイン検索

ドメイン名を直接入力してください
例)popwonder.com

動作確認済ソフト