質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.34%

  • Linux

    4030questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • DNS

    297questions

    DNSとは、Domain Name Systemのことで、インターネットなどのTCP/IPネットワーク上でドメイン名やホスト名と、IPアドレスとの対応づけを管理するシステムです。DNSのデータベースは、IPアドレスの4つの数字を通知するDNSサーバーで構築されており、IPアドレスをドメイン名から引き出す機能やドメイン名に関するメールサーバ情報を取り扱っています。

  • firewalld

    26questions

内部から外部への53番ポートの不正なセッションを停止したい。

解決済

回答 5

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 339

leo

score 3

前提・実現したいこと

サーバー内部からDNSへ大量のセッションが発生するアタックを対処したい。

特定の25番ポートへ外部から内部への通信を遮断と事象は改善したのですが、再発しないように予防策を打ちたいと考えております。

質問内容が、ソースコード云々でないため、ここでの質問は不適切かもしれませんのでその旨も併せてご指導いただけますと幸いです。

発生している問題・エラーメッセージ

利用しているサーバーで、smtpの応答やFTPの応答遅延があったので、確認したところ、サーバー内部から登録しているキャッシュDNS(/etc/resolv.confに登録のもの)へ、大量の53番ポートのセッションが発生しておりました。

該当のソースコード

ここにご自身が実行したソースコードを書いてください

試したこと

アパッチのログから不正ファイルが置かれたのかを確認しましたが、特にその形跡は見受けられませんでした。(探しきれてないだけかもしれません。。。)

netstatで表示されるIPをIPひろばやSPAM送信するIPアドレスの情報などをもとに、iptablesでブロックしたところ、あるIP(25番ポート利用)をブロックしたところで53番ポートのセッションが消えました。

このため、
外部→内部への25番ポートへの通信をトリガーとして、
内部→外部への53番ポートのセッション大量発生という現象なのではと考えておりますが、
何を対処すれば防げるのか不明ため、ご助力いただきたいと考えております。

補足情報(言語/FW/ツール等のバージョンなど)

CentOS release 5.9
PHP 5.3.3
MySQL 5.0.95
BIND 9.3.6
MTA:qmail

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • m_yoko

    2018/06/20 10:55

    原因を解明したいのでしょうか?

    キャンセル

  • leo

    2018/06/20 11:10

    m_yokoさま、ご指摘ありがとうございます。タイトルや依頼内容が不適切だったかもしれません。一番したいことは、再発しないよう予防策打つことでございますが、そのためには原因の解明も必要とは考えております。

    キャンセル

回答 5

+1

不正に侵入された可能性があるのでログを見ましょう。
ルートキット等が仕掛けられてないかチェックします。
業者に依頼するなら計算機の電源を落とさずに何もいじくらずに引き渡したらいいと思いますが、自分でやるならデータのバックアップを取ってからでもいいと思います。
外にちょこっとDNSの問い合わせが漏れていいなら、その状況になったときにパケットをダンプしてみてみましょう。
どんなパケットがきて何を返してるのか見たらおおよそ検討が付きます。
根本的に今の時代では25番は使えないようにしておいたほうがいいですよ。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/06/20 11:48

    m_yokoさま
    ご確認ありがとうございます。

    漏れはあるかもしれませんが、現在確認した限りルートキット等は仕掛けられてないようでございます。

    パケットキャプチャにつきましては、まだ実施できておりませんので、再発した場合に備えて、wiresharcを導入してみます。

    25番ポートはWEBのフォームからの送信用や、他のメールサーバーとのやり取り用にと思っておりましたが、閉じても大丈夫なものでしょうか。

    そのほか確認事項等ございましたら、その旨お知らせいただけますと幸いです。
    お手数おかけいたしますが、よろしくお願いいたします。

    キャンセル

  • 2018/06/20 12:06

    ここで相談すべき内容ではなかったようですので、本件closeとさせていただきます。
    いろいろとご助言いただきありがとうございました。

    また別件で質問した際にはよろしくお願いいたします。

    キャンセル

+1

qmailによるSPFのDNS応答が原因の場合はなにかしら回避方法がございますでしょうか。

申し訳ないですが、私にはちょっと思いつかないです。
※SPFパッチが出た後のqmailは運用したことがないので…

ただ、メール送信の頻度(指定アドレス数)が許容範囲を超えているのならブロックか流量制限するしかないでしょうし、そうでないならローカルでキャッシュ(フォワーダ含む)をたててDNS負荷を緩和する位でしょう。
※メールはDNS問い合わせが多数発生するサービスなので、外部のキャッシュに頼らないという運用はありうる

後は…。qmailならrecordioというツールも付属していたような記憶が。それを使えばSMTPセッションがログに残せたはずなので、疑わしい通信にしかけて内容を確認するというのはありえます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/06/20 20:15

    angel_p_57さま
    ご回答ありがとうございます。
    キャッシュDNSの件、検討してみたいと思います。
    いずれにしても、まずはきちんとパケットデータをチェックしてみないとですね。
    再発した際に予想通りの状況かどうかを確認して、進めてみたいと思います。
    お付き合いくださりありがとうございました。

    キャンセル

check解決した方法

0

本件、こちらで相談すべき内容ではなかったようですので、未解決ではございますが、closeいたします。無駄に投稿してしまい大変失礼いたしました。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

DNSキャッシュサーバーへの大量のセッションとのことなので、恐らくDNSアンプ攻撃の踏み台にされているのだと思います。

DNSアンプ攻撃については、下記のサイトが参考になります。

DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
DNS Amp攻撃の解説と、踏み台にされないためのBIND DNSの設定

TCP 25 (qmail)への接続を恒常的に遮断することができないのであれば、不正中継を防止する設定などを確認されることをお勧めします。

qmailメールサーバの第三者不正中継対策

上記のサイトにはいわゆる「踏み台」にされてしまっている状態かどうかを自己判定できる方法が示されています。

いずれにせよ、現時点で業務に支障が出ている状況であれば、セキュリティコンサルティング業者に相談すべき段階だと思います。

ご参考になれば。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/06/20 11:33

    tkandaさま
    ご回答ありがとうございます。

    対策を見るとBINDの設定についての記載があるようでございますが、現在利用しているサーバーはキャッシュDNSの機能は持たせていないのですが、この場合はどのように対策したらよろしいでしょうか。

    自身がキャッシュDNSサーバーの場合の対策という認識でございましたので、間違っておりましたら、お詫びいたします。

    サーバーの動きを見る限り、25番ポートで外部から接続、現在利用しているWEB,メールサーバー内部から53番ポートを利用して外部に大量のセッションが発生となっておるようでございます。

    また、不正中継対策の記事のご紹介ありがとうございます。
    確認いたしましたところ、不正中継の形跡は見受けられませんでした。

    追加の確認事項等ございましたら、その旨お知らせいただけますと幸いです。
    お手数おかけいたしますが、よろしくお願いいたします。

    キャンセル

  • 2018/06/20 11:51

    25番ポートで外部から接続、現在利用しているWEB,メールサーバー内部から53番ポートを利用して外部に大量のセッションにつきまして、
    /etc/resolv.confに記載のあるキャッシュDNSへの大量のセッションでございます。
    不正確な状況説明で申し訳ございません。

    キャンセル

  • 2018/06/20 11:55

    すでに起こってしまっているセキュリティ障害は、ここのようなオンラインフォーラムでのQ&Aでは到底解決できません。セキュリティの専門業者か、しかるべきIT業者にご相談されることを強くお勧めします。

    キャンセル

  • 2018/06/20 12:05 編集

    tkandaさま、ご回答ありがとうございます。
    何かしらの原因や予防の解決の糸口が見つかればと思っておりましたが、ここで相談すべき内容ではなかったようですので、本件closoとさせていただきます。

    お忙しい中、いろいろとお調べいただきありがとうございました。
    また、別件で質問の際にはよろしくお願いいたします。

    キャンセル

0

取り敢えず判断するにはfactが足りません。何らかの攻撃であるにしても、それが何であるか特定はまだできないでしょう。

今の事実としては、特定アドレスからの自サーバ25番へのアクセスと、利用しているDNSキャッシュサーバへのリクエスト頻度が連動していること、それだけです。( それも定量的なデータは? という状況 )

DNSへのリクエスト増大にしても、なにものかが意図した攻撃なのか、何かの処理に付随して増えているだけなのか、判断がつきません。

なので、事象の特定には、とりもなおさず通信内容を把握することです。tcpdumpを流すだけでも、DNSリクエストの内容は分かりますので、見当をつけることができるでしょう。

ひとつありそうなシナリオは、SPAMメール送信を受けてのSPFチェックに伴うDNSリクエスト増大です。
※素のqmailはSPFチェックの機能は持たないですが、パッチを当ててれば使えますから

だとすると、DNSリクエストそれ自体はqmailが行う、ある意味やむを得ないもので、真の問題はSPAMということになります。( 間接的なDOSとも言えますが )

ということで、通信内容の把握と、そのサーバの機能として、どのような通信が妥当で、どのような通信がそうでないのか。そこの整理が必要かと思います。
※最悪、どうしてもそれだけのDNSリクエストが必要なら、キャッシュを自前で用意して能力増強するという考えもありうる

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/06/20 13:26

    angel_p_57さま
    ご回答いただきありがとうございます。
    おっしゃる通り、25番ポートの通信を停止したら、止まったというだけで、具体的な原因や状況は全くつかめていない状態です。
    m_yokoさまからもご指摘いただきましたが、tcpdump等で具体的な通信データの中身の精査ができてなかったため、再発した際はこれらをチェックをしてみたいと思っております。

    現状そのメールを確認できてないので、憶測ですが、
    SPFによるDNS応答はありえそうな状況でございまして、大量の宛先が含まれているのではと考えております。
    qmailもパッチ適用済みで、spf対応はしております。
    実際ブロックしたIPはSPAMメール送信元とされているIP(SPAM送信元IPを公開しているサイトでの確認)でございました。

    大量のToであれば、Toの長さを何かしらで制限を掛けることができれば、ある程度防げるのかなとは思っておりますが、原因がまだはっきりしてないことと手段がわかってないので、実施はできておりません。

    qmailによるSPFのDNS応答が原因の場合はなにかしら回避方法がございますでしょうか。

    もし何かしらお分かりになることがございましたら、ご教授いただけますと幸いです。
    closeしてしまっている案件にお返事いただきありがとうございました。

    キャンセル

同じタグがついた質問を見る

  • Linux

    4030questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • DNS

    297questions

    DNSとは、Domain Name Systemのことで、インターネットなどのTCP/IPネットワーク上でドメイン名やホスト名と、IPアドレスとの対応づけを管理するシステムです。DNSのデータベースは、IPアドレスの4つの数字を通知するDNSサーバーで構築されており、IPアドレスをドメイン名から引き出す機能やドメイン名に関するメールサーバ情報を取り扱っています。

  • firewalld

    26questions