突然消失するかもしれないブログ

”とつきえブログ”

Debian化したLinkStation HD-HGLANがクラックされる・・・

非常にショックな出来事なのですが、Debian化したLinkStation HD-HGLANが何者かによってクラックされました。

FreeLinkでDebian化して、apt-getでOpenSSHを導入し、デフォルトの設定のままインターネットに接続された無線LANアクセスポイントからLinkStationのOpenSSHのポートにポートフォワードしたのが原因と思われます。

FreeLinkを導入するとデフォルトのユーザ(root, linkstation)が作成されます。

Debian 4.0 Etchでは、apt-getでOpenSSHをインストールすると、プレインテキスト認証が許可されており、更にrootログインまで許可されているのです。見事にrootユーザが破られてました・・・。

rootユーザはともかく、linkstationユーザのデフォルトパスワードは自明ですから、linkstationユーザでログインし、sudoすると簡単にrootユーザを乗っ取れてしまうわけです。RSA認証のみ許可しておけばこんなことにはならなかったはずですが、運悪くプレインテキスト認証を許可していたため、まんまとやられてしまいました。

これまでの経緯を振り返ると、以下の通りです。

  • 第1段階)7/19(土)早朝。ある日突然、suコマンドでrootになれないことに気がつきました。この時点でLinkStationがクラッカーに犯されていることに気がつくべきでした。
    • てっきり、apt-get update, apt-get updateを実行したことによってrootユーザのパスワードが壊れた、書き換えられたからだと思いこんでいたのですが、浅はかでした。クラッカーがrootのパスワードを書き換えていたのです。
    • /var/log/auth.logを見ると7/19(土)9:57:13に初めてrootユーザでインターネット側からログインされたことがわかります。

Jul 19 09:57:13 LinkStation sshd[22847]: (pam_unix) session opened for user root by root(uid=0)
Jul 19 09:58:32 LinkStation sshd[23196]: (pam_unix) session opened for user root by root(uid=0)
Jul 19 17:28:23 LinkStation sshd[515]: (pam_unix) session opened for user root by (uid=0)
Jul 20 05:03:48 LinkStation sshd[2613]: (pam_unix) session opened for user root by root(uid=0)
Jul 20 05:08:54 LinkStation sshd[3192]: (pam_unix) session opened for user root by root(uid=0)
Jul 20 09:10:53 LinkStation sshd[4061]: (pam_unix) session opened for user root by root(uid=0)
Jul 20 22:55:52 LinkStation sshd[5765]: (pam_unix) session opened for user root by root(uid=0)
Jul 21 12:16:27 LinkStation sshd[6673]: (pam_unix) session opened for user root by root(uid=0)
Jul 21 12:27:32 LinkStation sshd[8751]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 06:32:46 LinkStation sshd[11575]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 06:41:44 LinkStation sshd[11766]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 18:07:13 LinkStation sshd[11999]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 18:33:49 LinkStation sshd[12193]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 18:43:40 LinkStation sshd[12214]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 18:47:36 LinkStation sshd[12300]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 18:57:15 LinkStation sshd[12345]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 21:51:58 LinkStation sshd[13237]: (pam_unix) session opened for user root by root(uid=0)
Jul 22 22:14:32 LinkStation sshd[14863]: (pam_unix) session opened for user root by root(uid=0)

  • 第2段階)7/22(火)深夜。
    • 突然、ウェブサーフィンが一切できなくなりました。よく見ると、LinkStationのイーサネットのLINK/ACTのLEDがものすごい勢いで点滅しており、大量のトラフィックを発生していました。topコマンドでみると、perl udp.plというコマンドを実行しています。このudp.plというのは、どうやらパスワードリストを持っており、手当たり次第にランダムでIPアドレスを生成して、ユーザ名とパスワードに脆弱性のあるホストを探しまくるクラック用のツールのようです。該当プロセスをkillして、大量のトラフィック発生が停止することを確認。
  • 最終段階)7/22(火)深夜。LinkStationの運用を停止。
    • クラッカーに何が仕組まれているかわからないので、LinkStationの運用を即時停止。

アクセスログが残っているようなので、だめもとで犯人追跡を行ってみました。

lastコマンドの実行結果。いろいろなホストからログインしていることがわかります。恐らくこれらのホストもクラックされてしまっているものと思われます。

root     pts/3        89.123.148.235   Tue Jul 22 22:14 – 23:04  (00:49)
root     pts/2        88-149-136-68.st Tue Jul 22 21:51 – down   (01:15)
root     pts/4        88-149-136-68.st Tue Jul 22 18:57 – 19:05  (00:08)
root     pts/3        88-149-136-68.st Tue Jul 22 18:47 – 21:01  (02:13)
root     pts/3        88-149-136-68.st Tue Jul 22 18:43 – 18:47  (00:03)
root     pts/2        88-149-136-68.st Tue Jul 22 18:33 – 20:45  (02:11)
root     pts/1        88-149-136-68.st Tue Jul 22 18:07 – 18:12  (00:05)
root     pts/1        88-149-136-68.st Tue Jul 22 06:41 – 08:58  (02:17)
root     pts/0        88-149-136-68.st Tue Jul 22 06:32 – 06:40  (00:07)
root     pts/1        125.76.236.39    Mon Jul 21 12:27 – 14:38  (02:11)
root     pts/0        125.76.236.39    Mon Jul 21 12:16 – 14:27  (02:11)
root     pts/0        202.63.215.34    Sun Jul 20 22:55 – 22:55  (00:00)
root     pts/0        213.190.208.30   Sun Jul 20 09:10 – 09:10  (00:00)
root     pts/1        host209-53-stati Sun Jul 20 05:08 – 05:14  (00:05)
root     pts/0        89.46.59.111     Sun Jul 20 05:03 – 07:15  (02:11)

で、クラッカーが何をやっていたのかをlastcommコマンドで調べてみました。

クラックしたホスト上で何かを実行しようとwgetを実行していることがわかります。

wget             S   X root     ??         0.99 secs Tue Jul 22 22:16
wget                   root     ??         0.08 secs Tue Jul 22 18:57
wget                   root     ??         0.14 secs Tue Jul 22 18:48
wget                   root     ??         0.72 secs Tue Jul 22 18:44
wget                   root     ??         0.02 secs Tue Jul 22 06:45
wget                   root     ??         0.04 secs Tue Jul 22 06:44
wget                   root     ??         0.04 secs Tue Jul 22 06:42
wget                   root     ??         0.03 secs Tue Jul 22 06:34

クラッカーがviでごにょごにょしてます。

vi               S     root     ??         1.44 secs Sun Jul 20 05:11
vi               S     root     ??         0.01 secs Sun Jul 20 05:11

で、/root/.nano_historyを見ると、viが使えるか試したようです。

LinkStation:~# less .nano_history
testing

/root/.bash_historyもとっておけば良かったのですが、わりと短いサイクルで古いログが消えていくようなので今となっては良くわかりませんが、サーバ内のファイルの改ざんや情報漏洩など、あまりたいしたことはされてないようです。

クラッカーがperl udp.plを動かし始めたのは7/22(火)になってからのようです。2.5時間ほど実行されていたことがわかります。

perl                 X root     ??       1330.08 secs Tue Jul 22 22:21
perl                 X root     ??       7877.76 secs Tue Jul 22 06:47

クラッカーがudp.pl以外に何かしようとしていたらしく、いかの残骸が/rootに残っていました。

  • psybnc.tar.gz(IRCでなりすまし接続を行うためのproxyサーバ)
  • unixcod.tgz(rootkit?)

unixcodがrootkitだとすると、かなり物騒なもんを仕込もうとしていたようです。

ということで、セキュリティについて勉強し直そうと思います。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。