Q&A
原因を解明したいのでしょうか?
###前提・実現したいこと
サーバー内部からDNSへ大量のセッションが発生するアタックを対処したい。
特定の25番ポートへ外部から内部への通信を遮断と事象は改善したのですが、再発しないように予防策を打ちたいと考えております。
質問内容が、ソースコード云々でないため、ここでの質問は不適切かもしれませんのでその旨も併せてご指導いただけますと幸いです。
###発生している問題・エラーメッセージ
利用しているサーバーで、smtpの応答やFTPの応答遅延があったので、確認したところ、サーバー内部から登録しているキャッシュDNS(/etc/resolv.confに登録のもの)へ、大量の53番ポートのセッションが発生しておりました。
###該当のソースコード
ここにご自身が実行したソースコードを書いてください
###試したこと
アパッチのログから不正ファイルが置かれたのかを確認しましたが、特にその形跡は見受けられませんでした。(探しきれてないだけかもしれません。。。)
netstatで表示されるIPをIPひろばやSPAM送信するIPアドレスの情報などをもとに、iptablesでブロックしたところ、あるIP(25番ポート利用)をブロックしたところで53番ポートのセッションが消えました。
このため、
外部→内部への25番ポートへの通信をトリガーとして、
内部→外部への53番ポートのセッション大量発生という現象なのではと考えておりますが、
何を対処すれば防げるのか不明ため、ご助力いただきたいと考えております。
###補足情報(言語/FW/ツール等のバージョンなど)
CentOS release 5.9
PHP 5.3.3
MySQL 5.0.95
BIND 9.3.6
MTA:qmail
m_yokoさま、ご指摘ありがとうございます。タイトルや依頼内容が不適切だったかもしれません。一番したいことは、再発しないよう予防策打つことでございますが、そのためには原因の解明も必要とは考えております。
回答5件
0
qmailによるSPFのDNS応答が原因の場合はなにかしら回避方法がございますでしょうか。
申し訳ないですが、私にはちょっと思いつかないです。
※SPFパッチが出た後のqmailは運用したことがないので…
ただ、メール送信の頻度(指定アドレス数)が許容範囲を超えているのならブロックか流量制限するしかないでしょうし、そうでないならローカルでキャッシュ(フォワーダ含む)をたててDNS負荷を緩和する位でしょう。
※メールはDNS問い合わせが多数発生するサービスなので、外部のキャッシュに頼らないという運用はありうる
後は…。qmailならrecordioというツールも付属していたような記憶が。それを使えばSMTPセッションがログに残せたはずなので、疑わしい通信にしかけて内容を確認するというのはありえます。
投稿2018/06/20 11:02
総合スコア1672
angel_p_57さま
ご回答ありがとうございます。
キャッシュDNSの件、検討してみたいと思います。
いずれにしても、まずはきちんとパケットデータをチェックしてみないとですね。
再発した際に予想通りの状況かどうかを確認して、進めてみたいと思います。
お付き合いくださりありがとうございました。
0
不正に侵入された可能性があるのでログを見ましょう。
ルートキット等が仕掛けられてないかチェックします。
業者に依頼するなら計算機の電源を落とさずに何もいじくらずに引き渡したらいいと思いますが、自分でやるならデータのバックアップを取ってからでもいいと思います。
外にちょこっとDNSの問い合わせが漏れていいなら、その状況になったときにパケットをダンプしてみてみましょう。
どんなパケットがきて何を返してるのか見たらおおよそ検討が付きます。
根本的に今の時代では25番は使えないようにしておいたほうがいいですよ。
投稿2018/06/20 02:27
総合スコア156
m_yokoさま
ご確認ありがとうございます。
漏れはあるかもしれませんが、現在確認した限りルートキット等は仕掛けられてないようでございます。
パケットキャプチャにつきましては、まだ実施できておりませんので、再発した場合に備えて、wiresharcを導入してみます。
25番ポートはWEBのフォームからの送信用や、他のメールサーバーとのやり取り用にと思っておりましたが、閉じても大丈夫なものでしょうか。
そのほか確認事項等ございましたら、その旨お知らせいただけますと幸いです。
お手数おかけいたしますが、よろしくお願いいたします。
ここで相談すべき内容ではなかったようですので、本件closeとさせていただきます。
いろいろとご助言いただきありがとうございました。
また別件で質問した際にはよろしくお願いいたします。
0
取り敢えず判断するにはfactが足りません。何らかの攻撃であるにしても、それが何であるか特定はまだできないでしょう。
今の事実としては、特定アドレスからの自サーバ25番へのアクセスと、利用しているDNSキャッシュサーバへのリクエスト頻度が連動していること、それだけです。( それも定量的なデータは? という状況 )
DNSへのリクエスト増大にしても、なにものかが意図した攻撃なのか、何かの処理に付随して増えているだけなのか、判断がつきません。
なので、事象の特定には、とりもなおさず通信内容を把握することです。tcpdumpを流すだけでも、DNSリクエストの内容は分かりますので、見当をつけることができるでしょう。
ひとつありそうなシナリオは、SPAMメール送信を受けてのSPFチェックに伴うDNSリクエスト増大です。
※素のqmailはSPFチェックの機能は持たないですが、パッチを当ててれば使えますから
だとすると、DNSリクエストそれ自体はqmailが行う、ある意味やむを得ないもので、真の問題はSPAMということになります。( 間接的なDOSとも言えますが )
ということで、通信内容の把握と、そのサーバの機能として、どのような通信が妥当で、どのような通信がそうでないのか。そこの整理が必要かと思います。
※最悪、どうしてもそれだけのDNSリクエストが必要なら、キャッシュを自前で用意して能力増強するという考えもありうる
投稿2018/06/20 03:56
総合スコア1672
angel_p_57さま
ご回答いただきありがとうございます。
おっしゃる通り、25番ポートの通信を停止したら、止まったというだけで、具体的な原因や状況は全くつかめていない状態です。
m_yokoさまからもご指摘いただきましたが、tcpdump等で具体的な通信データの中身の精査ができてなかったため、再発した際はこれらをチェックをしてみたいと思っております。
現状そのメールを確認できてないので、憶測ですが、
SPFによるDNS応答はありえそうな状況でございまして、大量の宛先が含まれているのではと考えております。
qmailもパッチ適用済みで、spf対応はしております。
実際ブロックしたIPはSPAMメール送信元とされているIP(SPAM送信元IPを公開しているサイトでの確認)でございました。
大量のToであれば、Toの長さを何かしらで制限を掛けることができれば、ある程度防げるのかなとは思っておりますが、原因がまだはっきりしてないことと手段がわかってないので、実施はできておりません。
qmailによるSPFのDNS応答が原因の場合はなにかしら回避方法がございますでしょうか。
もし何かしらお分かりになることがございましたら、ご教授いただけますと幸いです。
closeしてしまっている案件にお返事いただきありがとうございました。
0
自己解決
本件、こちらで相談すべき内容ではなかったようですので、未解決ではございますが、closeいたします。無駄に投稿してしまい大変失礼いたしました。
投稿2018/06/20 03:08
編集2018/06/20 03:09総合スコア11
0
DNSキャッシュサーバーへの大量のセッションとのことなので、恐らくDNSアンプ攻撃の踏み台にされているのだと思います。
DNSアンプ攻撃については、下記のサイトが参考になります。
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
DNS Amp攻撃の解説と、踏み台にされないためのBIND DNSの設定
TCP 25 (qmail)への接続を恒常的に遮断することができないのであれば、不正中継を防止する設定などを確認されることをお勧めします。
上記のサイトにはいわゆる「踏み台」にされてしまっている状態かどうかを自己判定できる方法が示されています。
いずれにせよ、現時点で業務に支障が出ている状況であれば、セキュリティコンサルティング業者に相談すべき段階だと思います。
ご参考になれば。
投稿2018/06/20 02:16
総合スコア2425
tkandaさま
ご回答ありがとうございます。
対策を見るとBINDの設定についての記載があるようでございますが、現在利用しているサーバーはキャッシュDNSの機能は持たせていないのですが、この場合はどのように対策したらよろしいでしょうか。
自身がキャッシュDNSサーバーの場合の対策という認識でございましたので、間違っておりましたら、お詫びいたします。
サーバーの動きを見る限り、25番ポートで外部から接続、現在利用しているWEB,メールサーバー内部から53番ポートを利用して外部に大量のセッションが発生となっておるようでございます。
また、不正中継対策の記事のご紹介ありがとうございます。
確認いたしましたところ、不正中継の形跡は見受けられませんでした。
追加の確認事項等ございましたら、その旨お知らせいただけますと幸いです。
お手数おかけいたしますが、よろしくお願いいたします。
25番ポートで外部から接続、現在利用しているWEB,メールサーバー内部から53番ポートを利用して外部に大量のセッションにつきまして、
/etc/resolv.confに記載のあるキャッシュDNSへの大量のセッションでございます。
不正確な状況説明で申し訳ございません。
すでに起こってしまっているセキュリティ障害は、ここのようなオンラインフォーラムでのQ&Aでは到底解決できません。セキュリティの専門業者か、しかるべきIT業者にご相談されることを強くお勧めします。
tkandaさま、ご回答ありがとうございます。
何かしらの原因や予防の解決の糸口が見つかればと思っておりましたが、ここで相談すべき内容ではなかったようですので、本件closoとさせていただきます。
お忙しい中、いろいろとお調べいただきありがとうございました。
また、別件で質問の際にはよろしくお願いいたします。
あなたの回答
tips
プレビュー
