発端

logwatchからのメールで怪しげな活動をしているログが見られました。

A total of 1 possible successful probes were detected (the following URLs
 contain strings that match one or more of a listing of strings that
 indicate a possible exploit):

/.(省略)./passwd HTTP Response 301

上記のログによると「探索(調査)に成功した痕跡が検出されました。下記のURLに攻撃された可能性があります」的な感じだと思います。

probed the serverのログは今まで何度か出ていましたが、successfulと出るのは初めてで早速調査に入りました。

調査

まずは本当に何か攻撃されたのかを調べました。攻撃を受けたというURLを確認してみたらそのようなファイルを存在していなくて、自分でアクセスしてみると404 not foundがでるのでどういうことか分かりませんでした。

次に上記のエラーメッセージでぐぐってみたところ、必ずしも上記のメッセージが表示されても攻撃を受けたり、被害があるわけではないらしいです。 またHTTP Responseも301でリダイレクトされているだけなので、問題はなさそうでした。

対策

しかし、やはり原因が不明なので後味が悪いので、何かしら対策を行おうと思いました。

とりあえず、yum updateで内部のパッケージやカーネルなどのバージョンアップをしてみました。不具合が出る可能性もありますが、基本的に不具合や新機能、処理性能が向上されると思いますので、アップデートしました。

次にapacheのログを見て上記のファイルに接続してきたIPを調べました。

$ cat /var/log/.../access.log | grep passwd
122.96.131.201 - - [17/Aug/2018:00:28:47 +0900] "GET /.../passwd HTTP/1.1" 301 249

上記のIPが引っかかりました。このIPをIP検索サイトで調べると中国からのアクセスでした。 https://www.cman.jp/network/support/ip.html

このブログは日本語で書いていて、中国へ向けて書いてもいないのでアクセス規制を行いました。

$ firewall-cmd --zone=drop --permanent --add-source=122.96.131.201

このような一つのアドレスに対して規制を行うのはイタチごっこなので、あまりしたくないのですが今回はとりあえずこのような対策をしましたが、このようなことが続くようだったら別の対策を講じるのが良いかと思います。

結果

その後もう少し調査を行ってみたところどうやらpasswdがパワーワードっぽいことが分かりました。 URLにpasswdが入っていてかつ、301リダイレクトされるとlogwatchが検出して初めのメールを送ってくるようでした。 今回のような事例は初めてでしたが、このようなことが続くようなら対策を考えないといけないと思います。