ntpdを使った大規模なDDoS攻撃が確認される 22
ストーリー by hylom
皆様のサーバーもご確認を 部門より
皆様のサーバーもご確認を 部門より
2014年1月14日に公開された、NTPの問題を利用したDDoS攻撃("JVNVU#96176042)を使った大規模攻撃が確認されている模様(@IT)。
問題とされているのは、ntpdが管理用に提供しているmonlist機能。monlistによる問い合わせでは、234バイトの問い合わせパケットに対し数十〜数百倍のパケットを返送するとのことで、送信元を偽装したmonlistリクエストをntpdに送付することで、ターゲットに膨大なトラフィックを流すことができるという。
また、さくらのVPSやさくらのクラウド、さくらの専用サーバーなどで稼働しているntpdを使ってこの攻撃を行う例が多く確認されているとしてさくらインターネットが注意喚起を行っている。
さくらVPSのデフォルトCentOSは対策済み (スコア:4, 参考になる)
2週間ほど前にさくらVPSを借りたんですが、
デフォルトのCentOSでは、さくらが言う対策
(default ignoreにしてさくらのだけを許可)
がすでにされていました。
yum updateしてもupdateするものがほとんどなかったし、
こまめにメンテされているようで凄いなと思います。
Re: (スコア:0)
あと、最近のVPSはiptablesがあらかじめある程度かかれてたりしますよね
sshとあと少しぐらいしか初めは許可されてないので
いきなりアタックくらってぐにゃー!というのもすくないです
Re: (スコア:0)
VPSを使う側としてはこういうことしてほしくない。
手元のPCや他社のVPSとデフォルトが違うってのは面倒なことこの上ない。
出来るだけ素の状態で提供して、こういうのはユーザーが任意に実行できるように
スクリプトを用意するくらいにしていただきたい。
Re:さくらVPSのデフォルトCentOSは対策済み (スコア:2, すばらしい洞察)
そのような設定はデフォルトにしないとほとんどのユーザは実行しないので、役に立たないんですよ。
OSの初期状態からの変更箇所リストなんかはあってもいいと思いますが。
Re:さくらVPSのデフォルトCentOSは対策済み (スコア:1)
お前のようなやつがいるからアタックがなくならないんだ
即対応するならまだいいけど、そんなユーザーはごく一握り。
ユーザーの対応を待っていたらやられちゃうよ
Re: (スコア:0)
はんかくさいコメントだな…
素の状態に戻すスクリプトを用意したほうがずっといいじゃん。
Re: (スコア:0)
なーんか、身勝手なコメントですね。
そういうニーズの為にカスタムOSインストールを用意してるじゃないですか。
対応遅かったですが今はISOアップロードも出来ますし。
ボタン一つで自分の思い通りの環境に初期化したいならクラウドがありますよ。
# まあ、さくらに関していえばカスタムOSインストールのインストールディスクがカスタムされていると言う罠があるりましたが
# 今は知らないけど数年前デフォルトでインストールされるパッケージが公式と違って嵌りました
# それ以来、/bootに公式のインストールイメージ入れて、Grubからインストーラー起動してました
# 最近はISO上げられるので大分、楽になりました。
Re: (スコア:0)
日本語サポート周りとか色々入るみたいです。
EPELもデフォルトで入ってた気がします。
そもそもインストーラの流れが微妙に違ったり。
あとは、最初からパッケージが新しいですね。インストール直後に yum update しても何も降ってこない。
Re: (スコア:0)
専用サーバでどうぞ。
「ntpq -c rv」コマンドで確認 (スコア:3, 参考になる)
ntpdの4.2.7p25以下のバージョンは影響あり
ntpdの4.2.7p26で修正済み
安定版が4.2.6のため(4.2.7は開発段階)ntpd本体アップデートでの対応は微妙な感じかも
/etc/ntp.conf開いて「disable monitor」追記してntpd再起動すればmonlistが無効になるのでOK。
monlist使ってるから困るって人は、一番上の行に「restrict default ignore」で全てのNTPアクセスを拒否して、
あとは「restrict 127.0.0.1」とかで適宜必要なアドレスを許可すれば良い。
Re: (スコア:0)
これ、さくらから送られてきたメールに書いてあることそのままコピペしてるだけだからね?
参考になるスコアが3ついてるけど、違う気がするよ
Re: (スコア:0)
ん?どういう事?
さくらのメールは参考にならないという事?
/.jerなら全員さくらの○○を使っているから同じメールを受け取っているという事?
# 少なくとも3人はさくらの○○を使っていなかったorメールを未確認という事では
# 自分が知っている情報は皆も知っていて当然の人?
まあ、元ネタ [jpcert.or.jp]へのリンクはあても良いと思うけどね。
Re: (スコア:0)
monlist だけ止めてもダメだよ。
SNMPも危ないってよ。 (スコア:2, 参考になる)
増幅率がハンパないんだって。
プリンタとかpublicで開けっ放しのところ、結構あるんじゃないかな。
http://ya.maya.st/d/201401b.html#d20140115 [ya.maya.st]
http://mailman.nanog.org/pipermail/nanog/2013-July/060094.html [nanog.org]
読んでみてね。
対象ネットワークに問題のNTPサーバーが存在しないかどうかのチェックできるサイト (スコア:2, 参考になる)
http://openntpproject.org/ [openntpproject.org]
http://www.atmarkit.co.jp/ait/articles/1401/15/news126.html [atmarkit.co.jp]
より。
当社もやられました (スコア:1)
普段 CPU は数 % なのに、月曜日の朝くらいから徐々に負荷が上がっておよそ 24 時間後にほぼ 100% になって、水曜日の夕方に気づいて対策し、以前と同じ CPU 負荷に戻りました。
FF4 (スコア:0)
デルタアタック
Debian はディフォルトで問題ないみたい (スコア:0)
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=733940 [debian.org]
によれば、標準で入ってる設定で問題ないからアップデートしないとのこと。
逆にこの行削ってる人は戻しといた方がいいね。
# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
Re: (スコア:0)
10 goto: http://chiebukuro.yahoo.co.jp/ [yahoo.co.jp]
20 END
OK?
Re: (スコア:0)
10 goto: http://chiebukuro.yahoo.co.jp/ [yahoo.co.jp]
20 goto 10
Re: (スコア:0)
APのメーカーに問い合わせましょうw