(IT) 【注意喚起】 「会話型」攻撃メール

ぴったり1年前にも会社のメールにspamが来て大変だったのを思い出してた矢先、
昨日から怪しいメールが来始めた。会社で使ってるメールの通常の受信トレイに
到着したメール、専門家に鑑定してもらったら、
「会話型」の攻撃メール
ということだったので、注意喚起のために共有。
最初の一発目は添付ファイルもURL記載もナシとすることによって、迷惑メール
フィルターにひっかからず、受信トレイにまで到達する。
四の五の書いてあって、返信をするようにと書かれている。
これらのメールは個人宛ではなくて、グループ宛てに来ているため、
まだ個人アドレスは先方からは見えていないが、返信することによって、
生きたメールアドレスが判明する。それから数回のコミュニケーションの後、
マルウエアを仕込んだ添付ファイルやフィッシングサイトのURLが送られて
来たりするらしい。過去にやりとりがあるため、迷惑メールに入りづらく
なっているので、受信トレイまで到達し易いらしい。
とにかく返信をしてくれ、といのが強調されているので、意図が分かりやすい。
とりあえず二通、違うグループアドレス宛に来ていたので、To:以外を晒しておく。

<追記>
調べたらいっぱい来てた。件名は割とバラエティあったのでリストしておく。
ちなみに、初回にもかかわらず、2回目とか3回目とか書いてる(笑)
「やべえ、無視してたか、おれ」と思わせる戦法か。
特徴としては、以下の件名の前に宛先の文字列が入ってること。

<件名の例>

「こんにちは。お返事いただけるようお願いします。」
「今回3度目のご連絡をいたします。お返事をいただけるようお願いします。」
「今回2度目の情報を送らせていただきます。」
「情報を必ずよくお読みいただくようお願いします。」
「こんにちは。お返事いただけるようお願いします。」
「再度情報を送らせていただきます。」
「今回2度目の情報を送らせていただきますので、お返事をいただけるようお願いします。」
「再度情報をお送りいたします。」
「すぐにお返事いただけるようお願いします。」
「前回のお知らせにまだお返事をいただいておりません。」
「再度情報をお送りいたします。」
「お住いの地域で信頼できる人材を探しています。」
「再度情報をお送りいたしますので、お返事をいただけるようお願いします。」
「今回2度目のご連絡をいたします。ご回答お願い致します。」

<メールの例1>

From: JEANINE CHAN [mailto:miraabfandresev@outlook.com]
Sent: Thursday, October 6, 2016 2:32 PM
To: (グループ名)
Subject: (グループ名) , 情報を必ずよくお読みいただくようお願いします。

こんにちは!
またお手紙を差し上げます。こちらからのメッセージが届いていないようです。まだお返事をいただいていないからです。こちらからの提案が受け入れられないような場合でもお返事をいただけるようお願い致します。
当持株会社はグローバルオペレーションのためのコンサルティングと事業計画に特化しております。当持株会社は2005年に設立しました。
2016年現在、当社には30カ国に100以上の代理店があります。当社顧客リストには多くの有名企業があります。
本年、日本へと事業を広げるにあたり、当社では現地での代表者を募集しています。あなたの連絡先情報は日本の派遣会社より提供されました。経験は必要ありません。当社は信頼性や正確さを最重要視しています。
実践的でクリエイティブな作業を行っていただく、トレーニング期間(20日)があります。当社は知名度の高い顧客やプロデューサーと連携する方法や、国際取引を合法的に準備する方法を教えます。また、最高のスタッフを選べることです。あなたには個人的なコンサルタントがつき、例となる作業を与えたり、精度をコントロールします。
トレーニング期間の後、当社との提携を続けることができますか、長期契約書に署名しないことも可能です。トレーニングを終了すると、1000ドル以上の報酬や新しい知識、訓練終了を証明するあなたの名前が記載された修了証書が与えられます。フルタイムでの勤務、もしくは独立エージェントしての勤務からお選びいただけます。
9~10ヶ月の勤務後、お住いの都市の代表オフィスを管理することが可能となります。毎月1万ドル以上の報酬をお受け取りいただけます。しかしながら、最も価値のあるものはもちろん経験です。
全情報をお読みいただくことをおすすめします。このチャンスをお見逃しなく! 必ずお返事をいただけるようお願いします。お問い合わせいただければすぐに折り返しご連絡いたします。

 

<メールの例2>

From: MARI LEVINE [mailto:alemanboandresizd@outlook.com]
Sent: Thursday, October 6, 2016 9:59 PM
To: (グループ名)
Subject: (グループ名) , 今回2度目のご連絡をいたします。ご回答お願い致します。

こんにちは!
再度ご連絡を差し上げることとなりました。こちらからのメッセージが届いていないようです。だからお返事をいただけなかったのですね。こちらからの提案が受け入れられないような場合でもお返事をいただけるようお願い致します。
当持株会社はグローバルオペレーションのための(以下同文)

(IT) 新手の攻撃とその対策

<現象編>
先日(2015/10/19)の攻撃は、中国やマレーシアなどいろいろな国のマシンから
一斉に、このblogが乗ってるwebサーバーの「0jejhcec65c24dslii.com」と
いう名前のサイト(当然存在しない)の「#320」みたいなありもしない
ページ内リンクへのアクセスがしこたま来てた。
access_logはこんな感じ。

117.169.1.140 – – [19/Oct/2015:19:51:54 +0900] “GET /#101 HTTP/1.1” 500 263 “http://0jejhcec65c24dslii.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
177.99.87.146 – – [19/Oct/2015:19:52:07 +0900] “GET /#432 HTTP/1.1” 500 263 “http://0jejhcec65c24dslii.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
124.200.250.22 – – [19/Oct/2015:19:51:50 +0900] “GET /#22 HTTP/1.1” 500 263 “http://0jejhcec65c24dslii.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
114.26.14.87 – – [19/Oct/2015:19:52:07 +0900] “GET /#345 HTTP/1.1” 500 263 “http://0jejhcec65c24dslii.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
190.42.61.126 – – [19/Oct/2015:19:52:08 +0900] “GET /#326 HTTP/1.1” 500 263 “http://0jejhcec65c24dslii.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
91.121.153.214 – – [19/Oct/2015:19:51:54 +0900] “GET /#237 HTTP/1.0” 500 263 “http://0jejhcec65c24dslii.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
113.204.212.50 – – [19/Oct/2015:19:51:50 +0900] “GET /#225 HTTP/1.1” 500 263 “http://0jejhcec65c24dslii.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
117.169.6.138 – – [19/Oct/2015:19:51:39 +0900] “GET /#220 HTTP/1.1” 500 263 “http://0jejhcec65c24dslii.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”

ログを更に見てみると、数分後にこんなエラーが1秒に1回出てた。
存在しないページ内リンク(アンカー)を探しに行くと、apacheの子プロセスが
起動されて、CPUやらメモリやらの資源を食い潰しているのか。

::1 – – [19/Oct/2015:19:55:01 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”
::1 – – [19/Oct/2015:19:55:04 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”
::1 – – [19/Oct/2015:19:55:04 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”
::1 – – [19/Oct/2015:19:55:05 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”
::1 – – [19/Oct/2015:19:55:06 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”
::1 – – [19/Oct/2015:19:55:07 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”
::1 – – [19/Oct/2015:19:55:08 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”
::1 – – [19/Oct/2015:19:55:09 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”
::1 – – [19/Oct/2015:19:55:10 +0900] “OPTIONS * HTTP/1.0” 200 – “-” “Apache/2.2.15 (CentOS) (internal dummy connection)”

error_logも一応確認したけど、あまりめぼしいものがなくて、タイムスタンプが
近いものとしては、こんなのだけかな。

[Mon Oct 19 19:53:01 2015] [error] server reached MaxClients setting, consider raising the MaxClients setting

<対策編>(Special Thanks to「インフラ部」)
(1)意図しない名前でアクセスされた場合、反応しないための記述。
httpd.confのVirtualHostの先頭にdummyエントリを追加。
今回の大量アクセスは、IPアドレスで到達するけど、ターゲットのサーバー名が
「0jejhcec65c24dslii.com」という存在しないサーバー名宛てに来てたので。

#
# Use name-based virtual hosting.
#
NameVirtualHost *:80
#
<VirtualHost _default_>
ServerName dummy
DocumentRoot /var/www/dummy
<Directory /var/www/dummy>
Order Allow,Deny
</Directory>
</VirtualHost>
<VirtualHost *:80>
    ServerAdmin “anonymous@hogehoge”
    DocumentRoot “/foo/bar”
    ServerName www.ryoshr.net
(続く・・・)

(2)「#」で始まるページ内リンクを動作させない。
.htaccessでもいいみたいけど、httpd.confに追記。

<VirtualHost *:80>
    ServerAdmin “anonymous@hogehoge”
    DocumentRoot “/foo/bar”
    ServerName www.ryoshr.net
    ErrorLog logs/hogehoge_error_log
    CustomLog logs/hogehoge_access_log combined
    RewriteEngine On
    RewriteCond %{THE_REQUEST} /#
    RewriteRule .* – [F,L]
</VirtualHost>

(3)その他パラメータを調整。
MaxClient値を半分に(256→128)
MaxRequestsPerChild値を2.5倍に(4000→10000)

(4)Fail2Banをインストール

間違ってたら、ご指摘ください。

(IT) 新手の攻撃がー

このblogのサーバー、というか、インスタンス死んでました。

シゴトを終え、「ああ、今日は久しぶりに正面玄関が開いてる時間に帰るなあ」と
思ってたら、無料の監視サービスから「お前のサーバー、返事してないよ」とアラート。

いや、だって、これから電車乗るし、何もできないよう、と思いながら、
電車の中からCloud-nのポータルへアクセスしてたけど、結局つながらず。
(パスワードがわからんかったw)

家に帰って、コンソールから再起動しても、すぐ死ぬ。
かくなるうえは、インスタンスを停止して100数えてから起動。
嵐は去った。

しかしこれ、何なんだろう。情報お待ちしてます。
attack20151019

(IT) WordPressターゲットにした攻撃を受けた

いや、このサーバーではなくて、仕事関係のね。
何か荒らされるとかそういうことでなくて、サーバーに負荷をかけ続けられて、
いずれは、サーバー上のDB(mysqld)とかWebサーバー(httpd)が耐えかねて
落ちる、ということになる。愉快犯なんだろうなあ。
WordPressのピンバック機能のためのプログラムxmlrpc.phpへの大量の
アクセスをして、サーバーを不安定に陥れよう、という攻撃(いたずら?)

どんな対策をしても攻撃というか大量アクセスは来るので、防ぎようはないんだけど、
当該のプログラム(xmlroc.php)の動作を制限するなどして、
「このサイトは攻撃しても無駄だ」と思わせてアクセスが減るのを待つしか
ないというのが、なんとも歯がゆいところだが。
対策は専門の方がたくさんエントリをかかれているので、それを参考に。
Google先生に「WordPress xmlrpc.php 対策」とか聞いてみればたくさん出てくる。

ちなみに攻撃の例がこれ。某サーバーのアクセスログ。
xmlrpc.php
これで大体、30秒分。これが延々と10メートルくらい続く。
まあ、よほど性能のいいサーバーでないと、程なく死ぬよね。

アクセス元は中国かとおもいきや、実はアメリカ。まあ、アメリカからもこういうの
多いのは確かなんだけどね。テキサス州ダラスだって。
Softlayerというクラウド業者のサーバーから来てる。
ちなみに、別の仕事の別のサーバーも同じアクセス元(微妙にIPは違うけど)だった。
ちゃんと調べてないけど、悪い事するには都合のいいサービスなのかもしれない。
Softlayerというところ。なんとIBM様とも提携なさっておられるとか。

気のつけようもないけど、対策だけはきっちりやっておいた方がいいですよ。
まずは、WordPress本体やPluginを最新に保つことは基本ですね。