公開したばかりのwebサーバーでアクセスログにこのようなものが...

awsを使用して、httpdインストールして起動。

数時間後httpdアクセスログにこんなものが
"CONNECT 126mx01.mxmail.netease.com:25 HTTP/1.0" 405 225 "-" "-"

調べたら、スパムのメールを発信するサーバー。台湾からのアクセスでした。

１・なぜ作ったばかりのサーバーのIPアドレスを相手が知っているのでしょうか？
（これも総当たりというもので偶然アクセスできたって感じなのかな…）

２・この人はこのサーバーで何をするつもりだったのでしょうか？

３．やはり攻撃は公開している以上絶対くるものなのでしょうか？
攻撃はされないようにするのではなく、攻撃をされても防げるようにするって感じでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

１・なぜ作ったばかりのサーバーのIPアドレスを相手が知っているのでしょうか？

（これも総当たりというもので偶然アクセスできたって感じなのかな…）

AWSのpublicIPの範囲は公表されていて、かつ再利用もされるので
総当たり的に叩いて回っているんだと思われます。

２・この人はこのサーバーで何をするつもりだったのでしょうか？

CONNECTメソッドなので、典型的には緩いProxyサーバを見つけて、不正な行為の踏み台にしようとしているということが考えられるかと思います。

３．やはり攻撃は公開している以上絶対くるものなのでしょうか？

攻撃はされないようにするのではなく、攻撃をされても防げるようにするって感じでしょうか？

はい、パブリックIPは必ず攻撃されます。
出来ればホストにたどり着く前のネットワーク（N-ACLやセキュリティグループ）部分で防ぎ、
ホストにたどり着いてしまった部分はファイアウォールで防ぎ、
それでも防げない部分はwebサーバの設定で防ぎ、
それでも防げなかったらアプリケーションで防ぐ
というような感じになります。

投稿2016/06/13 10:36

tanat

総合スコア18713

mint.cherry

2016/06/13 11:27

回答ありがとうございます。１．やはり総当たりでしたか。。。なんに対しても攻撃者は総当たりから始まるのがおおいのですね… ２．私のサーバーが相手のメールサーバーのプロキシにする。ということなのでしょうか？３．かなり強固なセキュリティになりますし、サーバに届かなければ負荷がかからないですね。参考になります。

tanat

2016/06/13 11:38

>２．私のサーバーが相手のメールサーバーのプロキシにする。ということなのでしょうか？今回のケースはメールサーバではなく、httpProxyの可能性が高いですね。どこかのサイトに不正なアクセスをする時に踏み台にするんじゃないでしょうか。

mint.cherry

2016/06/13 11:58 編集

返信ありがとうございます。もしも、この攻撃が通ったら、私のサーバーを通していることになりますので。私が攻撃をしているように見せているということですね… もしかしてですが、この台湾からのアクセスもこのサーバーも踏み台にされている可能性がありますか？

tanat

2016/06/13 11:58

あ、多分そうですね。踏み台を使って踏み台を探して、どんどん増やしていってるんだと思います。

mint.cherry

2016/06/14 02:49 編集

返信ありがとうございます。攻撃者もえらい考えていますね。踏み台から踏み台へと… 身元がばれにくい。おそらくツリー型に踏み台サーバーがあるためめに一つの踏み台が止まってもそれから以下の踏み台は使えなくなりますが、また別の踏み台があるから、高い冗長性が保てますね…厄介。。。疑問がまた出てきましたので、また新しく質問します。回答。返信ありがとうございました。

行動規範の内容に同意します