2014年10月11日
Tweet
※NVR500が原因とは考えていません。
とある企業から相談を受けました。
JPCERT/CC という団体から22番ポートで不正アクセスが行われているという指摘を受けたというのです。
そしてこの企業のネットワークの状況というのは、完全には把握していません。
しかしいくつかのサーバーをかつては公開していたこと、クライアントは十数台あるということは把握しています。(サーバーの公開については、現在も行っているのかはわかりません)
アドバイスをどのようにしていいのか迷いました。
当然のことではありますが、しばらくは syslog notice on にして、ログの取得は必須かと思います。
※もし ssh ポートが、 pass フィルターになっている場合には、 pass-log などで、ACCEPT/PASS したときのログも取得するようにした方がいいでしょう。
そのほか、クライアントに何らかのアプリケーションがインストールされており、それが悪さをしている可能性があります。それらを防ぐためにも、アンチウイルスの確認。WindowsUpdateなども確認するべきです。
社内のサーバーが踏み台にされている可能性も否定できません。そのため、外部公開サーバーがある場合には、これもチェックします。tcpdump などでの通信の確認や、/var/log/secure ログの確認でしょうか。
そのほか、もちろん NVR500 が悪さをしている可能性も無いとは言えません。(ないでしょうけど・・)
とりあえずファームウェアを最新のものにし、外部からのSSH接続を許可している場合には、拒否しておいた方が無難です。
というアドバイスをしたのですが、結果どうなったのでしょうか・・。
参考
JPCERT/CC (JPCERTコーディネーションセンター)
ハッキングに遭って、踏み台にされた話
とある企業から相談を受けました。
JPCERT/CC という団体から22番ポートで不正アクセスが行われているという指摘を受けたというのです。
そしてこの企業のネットワークの状況というのは、完全には把握していません。
しかしいくつかのサーバーをかつては公開していたこと、クライアントは十数台あるということは把握しています。(サーバーの公開については、現在も行っているのかはわかりません)
アドバイスをどのようにしていいのか迷いました。
当然のことではありますが、しばらくは syslog notice on にして、ログの取得は必須かと思います。
※もし ssh ポートが、 pass フィルターになっている場合には、 pass-log などで、ACCEPT/PASS したときのログも取得するようにした方がいいでしょう。
そのほか、クライアントに何らかのアプリケーションがインストールされており、それが悪さをしている可能性があります。それらを防ぐためにも、アンチウイルスの確認。WindowsUpdateなども確認するべきです。
社内のサーバーが踏み台にされている可能性も否定できません。そのため、外部公開サーバーがある場合には、これもチェックします。tcpdump などでの通信の確認や、/var/log/secure ログの確認でしょうか。
そのほか、もちろん NVR500 が悪さをしている可能性も無いとは言えません。(ないでしょうけど・・)
とりあえずファームウェアを最新のものにし、外部からのSSH接続を許可している場合には、拒否しておいた方が無難です。
というアドバイスをしたのですが、結果どうなったのでしょうか・・。
参考
JPCERT/CC (JPCERTコーディネーションセンター)
ハッキングに遭って、踏み台にされた話
