質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

92.01%

  • セキュリティー

    260questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

postgresqlがラムサムウェアにやられたようです。対応方法は?

受付中

回答 3

投稿 2017/04/20 12:27

  • 評価
  • クリップ 6
  • VIEW 3,990

DaDaDaisuke

score 14

vps上のpostgresqlのdatabaseがすべて書き換えられました。
テーブルはwarningというものだけとなり、
カラムには以下のメッセージが入っていました。

Send 0.5 BTC to this address and go to this site http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be available after payment!

ランラムウェアと思いますが、今ウイルススキャン中です。

データはバックアップに戻すとしても、
そもそも、ラムサムウェアなのか、サーバにログインされて、何かされたのか?
原因の特定ができていないので、
再発が怖くて手がつけれません。
(お客さんがうちの製品のトライアルに使っている環境なので、
リストアしてもまたデータ喪失したら嫌なので、、、)

念のため、サーバのログインパスワードのみを書き換えた状態です。
身に覚えのないリモートアクセスが昨夜、1件ありました。

postgresqlのランサムの事例や、
今回のような問題への対応としてアドバイスを頂ければ幸いです。

  • 気になる質問をクリップする

    クリップした質問に回答があった場合に通知・メールを受け取ることができます。

    クリップした質問はマイページの「クリップ」タブからいつでも見ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

+8

予期できないことなんてまだまだ沢山あるんでしょうね。

サーバーへの侵入にはすべて明確な理由があります。あなたにとって予期できないことは(失礼ながら)あるでしょうが、「誰にも予期できない」経路はありません。「その脆弱性は知られていなかった」というケース(ゼロデイ脆弱性)はありますが、「ソフトウェアの脆弱性が経路だった」という意味では既知の経路であるわけです。

理論的に可能な経路はいくつかあるのですが、類似事例もあるようですし、攻撃者が狙いそうな経路としては以下が考えられます。

・ssh等OSへのログインが狙われた(パスワードの流出経路は複数考えられます)
・PostgreSQLに外部から接続できる状態で、PostgreSQLのパスワードが破られた
・phpPgAdminなどPostgreSQLの管理ソフトが外部から利用できる状態で、PostgreSQLのパスワードが破られた
・Webアプリケーションに脆弱性があり悪用された

可能性がありそうなものは思い当たりますか?

投稿 2017/04/20 23:30

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    以下のような回答は評価を下げられます

    • 間違っている回答
    • 質問の回答になっていない投稿
    • 不快な投稿

    評価を下げる際はその理由をコメントに書き込んでください。

  • 2017/04/21 23:28

    ・PostgreSQLに外部から接続できる状態で、PostgreSQLのパスワードが破られた
    ・Webアプリケーションに脆弱性があり悪用された

    この2点が怪しいと思います。WEBアプリについては、最近の改修箇所にSQLインジェクション対応がされていない箇所がありました。

    >「ソフトウェアの脆弱性が経路だった」という意味では既知の経路であるわけです。

    そういった考え方を持っていれば油断なんてできないですね。。。勉強になります。

    キャンセル

+3

こちらご参照ください。
Postgres DB is hacked!
Database security basics, just been hacked... 
CryptoWall 3.0のトラフィック分析 ― ランサムウェアの内部に迫る

wordpressとか攻撃されやすいアプリケーション使ってませんかね。
ちゃんとセキュリティパッチは当てていますか?
あとはインターネット経由でDBにアクセスできるようにしてしまっているとか。
簡単なIDとパスワードにしてしまっているとか。
pg_hba.confを見直すとかしたほうが良いかと思います。

投稿 2017/04/20 16:55

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    以下のような回答は評価を下げられます

    • 間違っている回答
    • 質問の回答になっていない投稿
    • 不快な投稿

    評価を下げる際はその理由をコメントに書き込んでください。

  • 2017/04/20 17:56

    テスト兼トライアル環境ということもあり、まとまったテストが終わるまで、
    IPは全て受け付けるように設定していました。
    DBの設定は直しました。

    パスワードは設定ファイルか、私のマシンなどからのアクセス時に抜かれたりするんでしょうね。
    サーバよりも自分のマシンが一番の温床じゃないか?気がしてきた。
    関連するマシンは一度きれいにした方がいいですよね。。。

    キャンセル

  • 2017/04/20 18:28

    トライアルでも本番と同じセキュリティポリシーにしておかないと、
    予期せぬ落とし穴にはまってしまうことがあります。気をつけてください。

    キャンセル

  • 2017/04/20 18:40

    予期できないことなんてまだまだ沢山あるんでしょうね。
    これからも増えていくんでしょうし。
    ありがとうございます。

    キャンセル

+3

まずすぐにネットワークから切り離してください。証拠の保全のため、サーバ全体のコピーを保存しておいてください。ファイヤーウォールや接続している他サーバのログも保存しておいてください。システムの構成によっては、そのサーバが他のサーバの攻撃の踏み台となっている可能性もあります。そちらも確認してください。

「お客様」に、状況を連絡してください。データの盗難だけでなく、マルウェア等が配信された可能性もありますので、クライアントのセキュリティチェックも依頼してください。

ご認識の通り、侵入経路を特定しそれに対処しないと、リストアしたところでリスクが残ったままです。必ず原因の特定が必要です。

想定される侵入経路はockeghem氏の回答を参考にしていただくとして、1点補足しておくと、原因は単独とは限りません。例えば、Webアプリケーションの脆弱性→リモート接続の制限の改変→外部からの接続、など、段階的に攻撃されていることも考えられます。根本的な部分を修正しないと再度侵入のリスクがあります。また、直接の侵入経路はすでに削除されていて単純には特定不可能かも知れません。

ウイルスチェックはやってもいいですが原因調査にはおそらく役に立ちません。(前述のとおり、別の攻撃を攻撃をするためのマルウェアが残されている可能性はあります)

原因が特定できたとして、バックドア等が仕掛けられている可能性がありますのでリストアはデータだけではなくシステム全体に対して行ってください。その際、バックアップが信頼できるものかどうか(すでに侵入されたあとのバックアップではないか)確認してください。確認出来ない場合は、クリーンインストールを行ってください。

正確な対応が必要ですので、自信が無いのであればすぐに専門の業者に相談されることをお勧めします。

投稿 2017/04/21 10:57

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    以下のような回答は評価を下げられます

    • 間違っている回答
    • 質問の回答になっていない投稿
    • 不快な投稿

    評価を下げる際はその理由をコメントに書き込んでください。

  • 2017/04/21 23:39

    現状への対処方法、ありがとうございます。
    バックドアが残されている事が怖いので、
    クリーンインストールを行っているところです。

    ockeghem氏ご指摘の箇所は平行で対策しています。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

ただいまの回答率

92.01%

関連した質問

同じタグがついた質問を見る

  • セキュリティー

    260questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

閲覧数の多いセキュリティーの質問