10000/TCPへのポートスキャンが増加、bashのShellshock脆弱性を狙う? 20
ストーリー by headless
増殖 部門より
増殖 部門より
hylom 曰く、
JPCERT/CCが、TCP 10000番ポートへのスキャンの増加に関する注意喚起を行っている。9月下旬からTCP 10000番ポートへのスキャンが増加しているとのことで、先日明らかになったbashの「Shellshock」脆弱性を狙った攻撃とみられる。
TCPの10000番ポートはWebminで使われることが多く、WebminはShellshock脆弱性の影響を受ける。標準インストールでWebminはroot権限で動作するため、脆弱性のあるbashとWebminの組み合わせが使われている場合、Webminの権限で任意のコードが実行できるという。対策としてはWebmimのアップデート(Webminでは9月29日にbashの脆弱性対策を行った1.7.10がリリースされている)やbashのアップデートが推奨されている。
なお、TCP 10000番ポートに対するスキャンを行ってきた送信元IPアドレスの中には、Webminが稼働するサーバーとみられるものがあるという。このことから、攻撃を受けたサーバーが第三者への攻撃の踏み台とされ、スキャン増加の原因になっているとも考えられるそうだ。JPCERT/CCでは、攻撃の踏み台にされているとみられるIPアドレスのネットワーク管理者に連絡を行っているとのことだ。
Webmin は有害アプリ (スコア:4, 興味深い)
Webmin は、Unix 系 OS のアプリケーションのテキストベースの「設定ファイル」(主にサーバ公開目的)を GUI から書き換えるアプリケーションですが、設定ファイルを直接書き換えるスキルが無い初心者にしか役に立たない代物です。VPN を借りてまずやることは、Webmin のアンインストールですね。
勿論、Webmin は既存の設定ファイルの内容を上手に解析して上手く書き換えるよう最大限の努力をしていますが、比較的自由な書式・順番で記述できる設定ファイルを、人・プログラムの両方で書き換えるという仕組み自体に無理があります。
デフォルトの設定ファイルを Webmin から書き換えるだけならまだ良いですが、自分で書き換えたファイルを Webmin から GUI で書き換えると、設定ファイルの真ん中らへんの記述がコメントアウトされ、その代わりの記述がファイルの最下部に追加されるようなことになったり、自分が直接コメントアウトされた設定項目に対して新たな項目が作られて二重に記述されている状態になったりと、設定ファイルの可読性がどんどん失われていきます。
アプリケーションのアップデートへの Webmin の対応が遅れると、当然ながらきちんとした設定ファイルの作成を Webmin からできなくなりますし、不具合が起きたら Webmin から作成したゴミだらけの設定ファイルを解析しなければなりません。これは、他人の書いたスパゲッティーコードを解析するぐらい不快な作業です。
従って、一見便利そうに見えても Webmin は使わずに、リファレンスやドキュメントなどを読みながら、自分で設定ファイルを直接書き換えることをお勧めします。Webmin が無ければサーバを構築できない人は、Webmin だけでサーバを構築しても脆弱性などにより他人に迷惑がかかることが想定されますので、まずは勉強から始めるべきです。
Re: (スコア:0)
CLIでも十分できるけど、こういうものがあるのは便利だし悪いことばかりじゃないと思うよ。
Re: (スコア:0)
おまえは短い文章ですら脊髄反射してるじゃん
Re: (スコア:0)
マジで最後までちゃんと読んで理解した上での感想とは思えないし。
Re:Webmin は有害アプリ (スコア:2, 興味深い)
#2692165です。
最後まで読んでますが、言葉足らずでした。
WebminでもWebmin以外でも良いのだけど、
こういう「CLIで編集出来る設定ファイルを管理するGUIソフト」をどんな
環境にも利用する、という場合は、環境によっては、元コメのようなデメリットはあります。
ただ、それは使い方や使う環境の問題であって、
Webminを含めてサーバ全体を一種のパッケージとして扱っている場合は、
勝手なアップデートはありません。Webminと他のアプリで、アップデートによる不一致、
という問題は無くなります。
Webminを通すことで、管理者の入力を制限出来るから、反って安全なケースも有ります。
また、直接編集とWebminの両方で編集するからぐちゃぐちゃになる、という話も、
Webminからでのみ編集するような運用であれば、別に気になりません。
つまり「最初から決められた運用の中での利用」ということです。
もちろん、そういう使い方をしない人や、そもそもWebminのようなソフトが嫌いな人に、
無理に使うべきと薦めてるわけではありません。
ただ「すべて管理者は、設定にはCLIを使うべきだ」ってことではなく、
使いドコロがわかっているかどうかがポイントではないかと思います。
(技術力として、必要なときには、CLIでの設定変更位は出来るべきだ、とは思います。)
# 昔は「viすら使えない、Xを起動してgeditでなければ編集できない人なんて、
# サーバ管理者失格だ」と思ってたことがあります。でも、実際には、企業には(時には開発ベンダにも)
# そういう管理者さん・技術者さんが多いし、今となっては、どうでもいいと思います。
Re: (スコア:0)
元コメのボールドにしてるところに独善が感じられますよね。
自分が不要と思うから存在自体が無意味、完璧じゃなければ無意味と言いたいような
良く見られる幼稚さがいらいらさせます。
ほっとくと同意したような気分になるので書き込みたくなる気持ちは解かります。
Re: (スコア:0)
(#2692205) の言いたいことに同意。
ソフトウェアがうまく普及するには色々なステージに合わせた仕組みが必要だと思います。
CUIのみだと、上級者しか使えないわけですが、GUIがあれば、初級者にも使えます。
ユーザーの範囲が広がります。
勉強すべき(#2692157) 、というのは分かりますが、実際には時間もお金もかかるわけで
理想論だけではなかなかうまく回りません。
業務ですと、上級者のみしか使えない仕組みを導入しようとすると、
会社の中では稟議が通しにくいこともあり得ます。色々な人は業務を引く次ぐ必要があるため。
Re: (スコア:0)
GUIで設定できなければ死ぬ人はおとなしくWindows Serverを使っていればいい。あれなら管理ツールとバックエンドのバージョンが一致しないなんて問題は起こりようがないし、設定は柔軟すぎるテキストファイルではなくレジストリや管理ツール経由でなければいじれないバイナリファイルに記録されるし、CLIが使えなければ死ぬ人向けにもPowerShellがあるし。
Re: (スコア:0)
VPSを借りてでしょうか。
Re:Webmin は有害アプリ (スコア:2)
ご指摘ありがとうございます。typo でした。
VPS (Virtual Private Server) です。
Re: (スコア:0)
Webminを使うときって、10000/tcpを外部に解放するってことあり得るのだろうか?
普通は外部に公開してるなら、Webサーバのプロキシ機能(apacheならmod_proxy)つかってポート転送するとおもうんだけど。
当然iptablesなどで10000/tcpはローカル以外からアクセスできない設定にしてる人がほとんどだろうし。
なので、いままでWebminの脆弱性をねらったアクセスって素直にHTTPからアクセスが多く直接ポートスキャンって少なかったような・・
>設定ファイルを直接書き換えるスキルが無い初心者にしか役に立たない代物
まあ、それでもサーバ管理者にもスキルがそれぞれだろうから、Webminのようなwebページからの設定出来るようにと、ベンダーの人でお客さんから要望を請け負うケース、結構あると思うけどな。
>アプリケーションのアップデートへの Webmin の対応が遅れると
これは同意!
ううむ (スコア:0)
デフォルトポートで使うような
情弱人がWebmin入れるかなぁとも思ったけど、意外とまだ人気なのかな。Re:ううむ (スコア:5, すばらしい洞察)
「デフォルトポートで使うような
情弱人」よりも、ポート番号を変えたり、バナー情報を消したりしたぐらいでセキュリティ対策をやったような気になっている自称情強人の方が厄介です(機械的な攻撃を防げる場合があることから、ポート番号の変更はやらないよりはマシ程度の効果はありますが……)。訳のわからん脆弱性検査ツールを使って、「『バナー情報』という脆弱性が発見された」と騒ぎ立てる人は、クラッカーよりも厄介な人種と言えます。それを根拠に契約を迫ってくる某セキュリティ対策会社は詐欺師のようなものです。話が逸れたのでポート番号の話に戻しますと、「銀行の暗証番号も4桁なんだから、より安全な5桁のポート番号(例: 34195)は簡単に破れるはずが無い」という主張を耳にした際には、空いた口が塞がりませんでした。
ポート番号を暗証番号として秘匿するようなことをせずに、ファイアウォールレベルで当該ポートに接続できるIPアドレスを限定した上で、パスワード認証を全体的に禁止して公開鍵認証でのログインに限定するのが望ましいです。下手にデフォルトポートを弄ると、クライアント側のファイアウォールの設定変更が必要になったりと、管理が大変になります。
副産物? (スコア:0)
ルーターでポート開放してまで
Webmin使う阿呆は
さすがに居ないんじゃないでしょうか
1台がおみやげ食らう
↓
LAN内のWebmin狙われる
↓
ホスティングサービス内で阿鼻叫喚
みたいな流れだったりするのかな
Re: (スコア:0)
それ以前に、webminってローカルホストで使うもんだと思ってました。近頃のマシンでは外部ホストからアクセスするように設定されてるんだ・・・。
# Webminなんて15年くらい名前自体を忘れていたのでAC
欲しいのはUserminだけなのですが (スコア:0)
Webminが入っていないとまともにインストールできないのです。こまったものです。
Re: (スコア:0)
同じく。
ユーザにパスワード変更のみ提供したい時とかファイラーのみ提供したいときとかにまれに使います。
UserminはWebmin Daemonが常に動作している必要はないので
必要な時だけ、手動で起動するようにしています。
なにか他にいい選択肢はありますかね。
CUIからやればいいというのは、うちの対象とするユーザには無理だな・・・
Re: (スコア:0)
Userminでのパスワード変更くらいしか提供してないけど、Webmin要るんですか?
# Webminも入ってるほうが捗るとは思う
Linux勉強中ですが (スコア:0)
Webminなんてものが存在している事すら知りませんでした。
全部設定テキストを編集するしかないと思ってました。