8台のうち5台がオフライン

Ubuntuサーバが乗っ取り被害に

2007/08/16

 Ubuntuコミュニティは8月6日、Canonicalの資金援助を受けてUbuntuが運用している同コミュニティ用サーバが乗っ取られ、ほかのマシンを攻撃していることに気づき、サーバ8台のうち5台をオフラインにせざるを得なくなった。

 14日のUbuntuコロケーションチームのIRC(インターネットリレーチャット)会議では、この問題の原因が、「長期にわたると見られる」ブルートフォース攻撃でUbuntuサーバにログインしようとしていた中国のIPアドレスだった可能性が示唆されたと、会議の参加者は言う。

 この日、Ubuntuコミュニティはデータを回復できるようにサーバを安全な状態で復旧する作業を開始した。残念ながら、コミュニティ管理者ジョノ・ベーコン氏によると、これらのサーバはいずれもバージョンが古く、Webソフトが多数詰め込まれており、セキュリティパッチが当てられていない―― 少なくとも、どのバージョンを走らせているか容易に分かる状況ではない――ことが分かった。

 「攻撃者は、これらサイトのほとんどからシェルを入手できただろう」とベーコン氏はこの事件によるロケーションサーバポリシーの変更についての投稿で述べている。

 「FTP(sftpではなく、SSLなしの)がサーバへのアクセスに使われていた。だから攻撃者は(うまくやれば)平文パスワードを調べてアクセスすることもできたかもしれない」と同氏は述べている。また「サーバはネットワークカードの問題、その後はカーネルの問題のためにアップグレードされていなかった。おそらくこのため、攻撃者がroot権限を取得できたのだろう」

 サーバの復旧は、管理者たちが望んでいたよりも長時間かかったとベーコン氏はいう。世界中に広がったメンバーの支援に頼っていたことを考えると、「こうした遠方からの支援には限界がある」上に、サーバからデータをコピーするのに利用できる「帯域も(比較的)少なかった」と同氏は記している。

 14日のIRC会議で、コロケーションチームはCanonicalのデータセンターへの移行か、ホスティングあるいはアウトソーシングサービスを利用し続けるかの選択肢を提示された。Canonicalは個人および企業のオープンソースソフト利用者にサービスを提供している英国の企業。

 Canonicalのデータセンターへの移行には、ハードや帯域の向上、Canonicalのシステム管理チームによるフルタイムのサポート(ソフトのメンテナンスも含む)、Ubuntuの既存のバックアップインフラとの統合などのメリットがある。

 Ubuntuディストリビューションを支援するCanonicalへの移行に伴い、コミュニティが対処しなければならないデメリットとしては、サポートするソフトが減ることが挙げられる。WikiエンジンのMoinMoin、ブログプラットフォームのWordPress、Ubuntuコミュニティフォーラム・ソフトのPlanetがサポートされなくなる。

 14日の時点ではまだ移行は不確定で、コロケーションチームのリーダーらは支援を求めていた。「まずは今日index.htmlファイルを ubuntu-fi.orgに置けたらうれしいのだけど。できたらMoinMoinも」とある参加者はIRC会議で話した。「わたしが求めたいのは忍耐だ。今回のようなサービス停止が多くの人を心配させることは理解している」とこの人物は述べ、サービス復旧に対して不安がある人は#canonical- sysadminチャネルにアクセスするよう求め、最初に対応できるシステム管理者がリクエストに応えるようにと頼んだ。

 その間、データが失われることはないが、侵入後で実行可能コードを信用できないため、アプリケーションは破棄しなければならない。

 「今回の侵入の性質から考えて、古いサイトのあらゆる種類のすべての実行可能コードが危険だという前提に立たなくてはならない」とIRC会議のリーダーは言う。「データはあるが、実行可能コード(Python、PHP、Perl、CGIなど)は入れ替える必要がある」

原文へのリンク

(eWEEK Lisa Vaas)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -