質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.61%

VPSで公開しているWebサーバへの攻撃について

解決済

回答 2

投稿

  • 評価
  • クリップ 1
  • VIEW 880

kwnm345

score 15

 前提

初めてVPSを借りてWebアプリを公開しました。VPSはConoHaで借りています。個人の趣味でやっている程度のもので商用ではありません。(いずれは稼ぎたい)

WebサーバにNginXを使っているのですが、NginXを起動した初っ端からひたすらに攻撃と思われるリクエストが続いています。PHPの辞書攻撃と言うんですかね、1.phpとか、admin.phpといったよくある(?)URLへのアクセスが1日数百件の単位で来てます。

 教えてほしいこと

  • VPSでWebサーバを動作させた時に速攻で攻撃を受けるのって普通のことですか?
    それとも運が悪い?IPアドレスの前使用者がセキュリティ甘い運用してたとか?
     
  • そのうち収まるものですか?もっとひどくなるものですか?
    ちゃんと設定してればそのうち来なくなるとか、セキュリティが甘いと悪化するとか、条件付きの回答や実体験、感覚でも結構ですので教えてください。
     
  • 「攻撃来るなんて当たり前」ということでしたら、皆さんはどう対応してますか?
    常識的にWAF使うでしょ?とか、やられている訳ではないので無視!とか、皆さんの対応を教えてください。(ConoHaのVPSはWAF有料なんすよね...)
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

0

VPSでWebサーバを動作させた時に速攻で攻撃を受けるのって普通のことですか?
それとも運が悪い?IPアドレスの前使用者がセキュリティ甘い運用してたとか?

どちらかと言えば運が悪いほうかとは思いますが、よくある事でもあります。

そのうち収まるものですか?もっとひどくなるものですか?

勝手には収まってはくれない事が多いので、
IP直打とか管理していない名前でのアクセスはforbiddenを出すとか、
怪しいアクセスがあったら、ログを解析して自動的にファイアウォールに登録するようにするなどすると無視できるくらいの影響に抑えることが出来るケースが多かったです。

ConoHaを使ったことが無いので的外れだと申し訳ありませんが、VPSなら自力でWAFを入れるのも有効な手段ですね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/11/04 18:24

    回答ありがとうございます。Forbiddenってアクセス者に対して「君はこのリソースにアクセスする権利がないよ」という情報を返すものと理解しているのですが、これは裏を返すとファイルの存在を否定していない状態だと思っています。明示的にファイルの存在を否定する404 Not Foundと比べて403を返すメリットはどのようなものがあるのでしょうか?
    403を返す場合は、ファイルが存在する可能性を示唆してしまって、余計に攻撃を助長するようなことになるのではないかと思っていました。

    キャンセル

  • 2018/11/04 19:08

    > これは裏を返すとファイルの存在を否定していない状態だと思っています。
    どちらかと言うと、ドキュメントルート以下全てに対して「君はこのリソースにアクセスする権利がないよ」と返すという意図です。

    大事なのはURL単位ではなく「想定しないホスト名(ここではIPアドレス)でのアクセス全てを弾く」という状態であることだと考えています。
    理由としては、攻撃する側も個別の事情としてはリソースは有限であり、ある程度硬そうな相手に対してはさっさと諦めて次に行く方が効率的なはずだと推測しているからです。
    サイト単位での403やDigest認証)であれば「明示的に対処しているんだよ」という事を認識させることでさっさと諦めてくれる(&攻撃してもあまり意味のないIPリストへ登録されると)と嬉しいなあ・・・と。
    (そういった意味では404でも403でも効果はそんなに変わらないと考えています。)

    キャンセル

  • 2018/11/05 21:07

    ありがとうございました。
    攻撃されること自体は珍しいケースでも無いようなので、まず暫くは静観しようと思います。

    今以上にアクセスが鬱陶しく感じるようになったら、
    ①IPアドレスアクセスなどをForbiddenしてみる
    ②Firewallへの自動登録の仕組みを実装してみる
    ③ホスト型WAFを入れてみる
    ④VPS運営側が提供するWAFを入れてみる
    を段階的にやって様子を見ていこうと思います。

    キャンセル

0

VPSでWebサーバを動作させた時に速攻で攻撃を受けるのって普通のことですか?
それとも運が悪い?IPアドレスの前使用者がセキュリティ甘い運用してたとか?

「攻撃」というより、攻撃の踏み台に使えそうなサーバがないか探し回っている人々のアクセスです (手動ではなくプログラムで自動化していると思いますが)。サーバを起動した途端にアクセスしてきたわけではないです。常にアドレスブロック全体を巡回してアクセスを試みています。

個人的には、1日100アクセスくらいならあってもおかしくないと感じます。

そのうち収まるものですか?もっとひどくなるものですか?
ちゃんと設定してればそのうち来なくなるとか、セキュリティが甘いと悪化するとか、条件付きの回答や実体験、感覚でも結構ですので教えてください。

一度でも侵入を許せば、たちまちその手のアクセスが増え、最低でも1-数ヶ月はおさまりません。彼らも情報交換し合っているんでしょう。

「攻撃来るなんて当たり前」ということでしたら、皆さんはどう対応してますか?
常識的にWAF使うでしょ?とか、やられている訳ではないので無視!とか、皆さんの対応を教えてください。(ConoHaのVPSはWAF有料なんすよね...)

日頃から、安全でないサービスをインターネットにさらさないように注意することが大事です。高度なWAFなどに頼らなくても、そういう対策はできます。

  • 接続許可ポートの設定はできるはずですから、実際に使用するサービスのポート以外は許可せず、必要になった時点で初めて許可するようにすべきです。
    : nginxってSMTPやIMAP4のプロキシの機能も持っているんですが、何かの間違いでついうっかりその機能を有効にする設定をしてしまったとしても、SMTPやIMAP4のポートへの接続を許可していなければ、不正利用されてしまうことはありませんよね。

  • インストール直後のウェブアプリケーションは自分の手元のPCのIPアドレスからしかアクセスできないようあらかじめHTTPサーバでアクセス制限しておき、安全な設定をしたと確信が持ててからアクセスを開放する、といった配慮が必要です。
    : いくつかのウェブアプリケーションでは管理者パスワードの初期値が決まっていて、インストール直後ならログインページにアクセスしてそのパスワードを入力すれば全ての設定を変更できます。つまり、外部からのアクセスができればサービスを乗っ取れます (admin.phpへのアクセスは、いかにもそれを狙っていそうですね)。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る