はじめにうちは、マルチメディア研究会ashと言う任意団体です。コンピュータを使用したアニメーションや特撮映像などの、マルチメディアコンテンツの制作や、ホームページの制作をしています。また、各種サーバを立ち上げ、Web上での実験などをするために、金沢でOCNエコノミーに加入し、サイトを開設しています。そのため、極めてオープンな形式の運用としていました。ところが、1998年11月頃に、イスラエルのハッカーに侵入されてしまいました。この、ハッカーの観察日記は、そのときの状況を日記として、メモしておいたものをまとめたものです。 被害環境被害にあっているサーバは、以下のサーバです。具体的な、ashサーバの実態を知りたい方は、Joeの環境をどうぞ。
11月某日 この人、誰?状況新規にユーザ登録をしていると、見慣れないユーザを発見しました。誰かが間違えて登録したのか、よくわかりませんでした。 11月24日 調査開始状況ユーザIDの命名規則を決めていたので、不審なユーザであることは間違いありません。そこで、このユーザについて、いろいろと調査をしてみました。 12月5日 侵入者発見!(第1次調査報告)状況11月24日に情報を採取した内容を解析し、まとめてみました。予期せぬ事態だったため、解析には、かなり手間取りました。 ハッカーが侵入していることは間違いありません。どうやら、イスラエルからの侵入者みたいです。しかし、十分な対策も立てていないのに、下手にハッカーを刺激して、新たなる攻撃をされるかもしれません。今のところ、うちのサイトに対しての攻撃はないみたいようですし、対応方法などはよくわからないため、ハッカーをそのまま放置したまま、監視していく方針にしました。こうして、この「ハッカー観察日記」が、始まりました。 被害状況
ハッカーの侵入経路以下のイスラエル人が telnet でアクセスしています。ドメイン名の il はイスラエルを意味します。 当サイトへの直接接続ユーザを syslog と last コマンドにて調査した結果です。 batman@dialup1-078.pop001.israsrv.net.il yoshi@dialup1-007.pop001.israsrv.net.il ring@dialup1-061.pop001.israsrv.net.il root@gezer56.gezernet.co.il batman@192.114.11.136 batman@192.114.11.141 これらは、アクセスログやeggdrop, bitchX(premiere) のログからも調べられます。 eggdrop のログを参照できます。 bitchX(premiere) のログを参照できます。 ハッカーのアクセス記録ハッカーは、11月17日に初めて侵入して来ました。以来、毎日のようにアクセスしてきています。 last コマンドで、ログイン記録 (wtmp の内容) を見ることができます。 last コマンドの結果 を参照できます。 アクセスログは、/etc/syslog.conf の設定で、*.* としてあります。 messages ファイルの内容 を参照できます。 11月24日までのアクセス記録がわかります。 ハッカーの持ち物ハッカーは、今のところ、eggdropを使用して、おとなしくチャットをしています。しかし、ハッカーのディレクトリには、クラッキング用ソフトと思われるソフトがあります。 以下に、そのハッカーの持ち物を見てみます。
12月13日 Land攻撃開始!被害状況ハッカーが、Land攻撃を開始しました。今までは、当サイトの資源を無断利用していただけなのですが、ついに、他サイトの攻撃を開始しました。 攻撃目標は、192.114.208 のドメイン全体でした。DNS登録はされていませんが、イスラエルのドメインのようです。 2時間に1回、全IPアドレスに対して、Landアタックをするようになっていました。 しかし、Landアタック結果を root 宛てにメール送信してきたため、すぐに発見できました。 crontabs の内容を参照できます。 root 宛てのメールの内容を参照できます。 ポート番号 139 番は、netbios 用のポートで、Windows のファイル共有などで使用しています。 対応状況ただちに、crontabs から、Landアタックを解除しました。また、今までの侵入状況を以下の団体に報告しました。 それぞれの報告内容を参照することができます。 攻撃テストハッカーのコンパイルした、各種クラック用ソフトの攻撃テストをしてみました。当然、ターゲットは、自分のサイト内のマシンです。 その、恐ろしい結果を以下に示します。 sspingアタック 攻撃方法: ssping host_name host_name 2 実行結果: Windows95がハング (ctrl+alt+delも不可) teardropアタック 攻撃方法: teardrop host_name host_name -n 2 実行結果: Windows95がハング (ctrl+alt+delも不可) landアタック 攻撃方法: land aaa.bbb.ccc.ddd 攻撃方法: extraland aaa.bbb.ccc. ddd_from ddd_to 実行結果: Windows95がハング (ctrl+alt+delも不可) 12月14日 証拠隠滅?被害状況ハッカーが、Landアタックの証拠隠滅のために、侵入してきました。今まで、クラック用ソフトは、.BitchX という隠しディレクトリに格納されていました。 ところが、今日、午前 5:07 ハッカーが telnet にて侵入し、このディリクトリを削除し、Landアタックの証拠隠滅を図りました。 しかし、crontabs を修正する時に、気づかれて証拠隠滅を図ることを予測して、バックアップを取ってあったのでした。 ですから、今、私の手元に、ハッカーのクラック用ソフト一式と、アクセスログのすべてが、残っています。 もし、イスラエルのプロバイダがしっかりしていれば、逆探知も可能だと思われます。 とにかく、私が侵入者に気づいたということは、知られてしまったので、そろそろ、ハッカーの撃退方法を急いで検討しなければ、いけなくなってしまいました。 12月15日 全面戦争開始!被害状況きのう、ハッカーがディスク内を捜索し、私のホームページのディレクトリと、ログ解析などに使用していたディレクトリを削除されました。これは、あきらかに犯罪であり、被害者の私としては絶対にゆるせません。 しかし、ハッカーが、ディスク内のすべてのデータを削除しても、悪事のすべてを記録したログは、私の手元に残っています。 私としては、この証拠を各機関に対して提出する予定です。 さらに、ユーザの削除、cronの解除、ホームディレクトリの削除も実施しました。 また、このページも一般に公開することにし、当ページのミラーサイトも同時に設置しました。 本日のように、当サイトが参照できない場合は、ミラーサイトをご覧下さい。 http://ash.or.jp/~joe/ http://www.nsknet.or.jp/~joe-mas/ 12月19日 JPCERTからの通信状況JPCERT殿より、メールの返事が来ました。攻撃元への対応については、攻撃元となったホスト自体が不正侵入を受けている可能性もあるため、攻撃元となったサイトあるいはホストの管理者殿へもご注意を喚起するご連絡を差し上げるのがより望ましい、という考えだそうです。 他には、攻撃元に対する連絡の有無の確認と、JPCERTから攻撃元に対する連絡の必要性の確認と、ログの提出の依頼がありました。 そこで、以下のような回答をしました。 JPCERTへ送付したメールを参照できます。 12月20日 作戦会議被害状況きのう、また侵入してきて、シスログとクラック用ソフトをすべて削除されてしまいました。12月14日までの分は、バックアップしてありますが、1週間分のシスログはもうなくなってしまいました。 しかし、すぐにバックアップから修復しました。 ハッカーは、証拠隠滅できず、かなりあせっているようですね。 防御体制再度、侵入されるのを防ぐために、以下の対応を検討しています。
12月25日 港閉鎖対応状況TCP/IPのポートを閉鎖しました。ポートとは、TCP/IPにおけるサービスを切り分けるための番号のことです。 この、ポートを閉鎖することにより、ある程度、侵入を防ぐことができます。 ルータには、ファイアーウォールとまでは行きませんが、簡単なフィルタ機能がついています。 特に、telnetやloginサービスは、ハッカーやクラッカーの侵入を許すことになり易いので、遮断しました。 ルータのIPコマンドの設定値を参照できます。 1月1日 あけましておめでとう!状況あけまして、おめでとうございます。今年も、よろしくお願いします ルータでポートを閉鎖して以来、クラッカーさんは、侵入してきていません。 というわけで、平和なお正月が迎えられました。 しかし、特に問題は発生していませんが、まだ裏口を遮断していないのです。 裏口とは、普通のユーザーがルートになれるようにしたり、外部から簡単に侵入できるようにするために作られた、ファイルやサービスなどのことです。 1月5日 IPAからの通信状況IPA殿より、メールの返事が来ました。対策についての一般論が書かれていました。 ファイアウォールの設置、telnetの制限、リモートアクセスユーザの権限の制限、日々の監視などについて、簡単な説明がありました。 また、当方の環境についての確認がありました。 そこで、以下のような回答をしました。 IPAへ送付したメールを参照できます。 1月8日 訴訟?検討内容侵入者もいなくなりましたが、厳しい厳戒体制の中、これまでの清算をどうするかを検討することにしました。
1月13日 NTT(OCN)への相談状況NTTに対して、問い合わせをしてみました。ash: 「ハッカーに侵入されたが、どうすればいいか?」 NTT: OCNエコノミーは、低価格が売り物なので、サポートは一切していません。 ash: 11月末のアクセスログを見せて欲しい。 NTT: アクセスログは採っていません 最初の質問は、予想された回答だったので、あまり驚きませんでしたが、ログも採っていないというのには、あきれてしまいました。 このNTTの運用には、かなり問題があるのでは、ないでしょうか? 検討内容現状では、ashで採取したログの裏づけをとることも、難しそうです。このような状況では、犯罪者に有利になってしまい、ネットワーク犯罪が減らないのではないでしょうか? こういう犯罪を取り締まるような組織が必要だと思います。 これらの結果をいろいろ検討しましたが、相手が外国人であることなどから、訴訟はやめることにしました。 1月27日 ハッキング用ソフトをGet!状況ハッカーの侵入経路の調査がまだだったのですが、インターネットを探し回り、ハッキング用ソフトをGetしました。これで、侵入できるかどうかの確認ができそうです。 クラッキング用ソフトは、クラッカーさんの置き土産があるし・・・ なんか、ミイラ取りがミイラになった感じです。 というわけで、今後も、いろいろ調べてみます。 2月9日 情報戦の開始状況2月8日IPAの12月の不正アクセス届け出状況の発表に、私の被害届けの内容が掲載されました。当然、IPAに掲載された内容には、個人情報などは、公開されていませんでした。しかし、これを受けて、あるセキュリティ関係のサイトからリンク依頼が来て、この「ハッカー観察日記」も、公開されることになってしまいました。また、連絡はありませんでしたが、WebCatchニュースにも、掲載されてしまいました。当初は、内部資料と報告用資料として制作していたため、個人情報なども、すべて掲載していました。しかし、知人に教えたり、掲示板に書き込んだりしていたため、セキュリティ関係に詳しい人の間には、知られてしまっていたようです。 おかげで、アクセス数は急増するし、いろいろな方からメールもたくさんいただきました。 すなおに、喜んでばかりもいられなくなってきました。 3月1日 アクセス記録の集計状況今までの、ハッカー観察日記の1日の平均アクセス件数をまとめてみました。ミラーサーバは含みませんので、実際のアクセス数は、この約1.5倍と思われます。 しかし、TOPページよりアクセス数の多いサブページって、珍しいですね。
|