ちょっと前から巷で大騒ぎのBash脆弱性ShellShockについての顛末を。ハッキリ言ってまぁ他人事だと思っていたフシもありまして、実は作業を放り出しッ放しだった訳です。このbashというのはLinuxなどに大抵は入っているパッケージだったりするんですけど、こいつに脆弱性が見つかったということでexploitも公開されちゃっていたりと何気にヤバイ状況ではあったわけです。
Bash 脆弱性 – ShellShockについて分かりやすかったのはこのパージ。
でもって何がヤバイのかは
- リモートで任意のコマンドが実行できてしまう可能性がある。
- Bash は linux 等のシステムで必ずインストールされているパッケージなので、影響が大きい。
ということの様なので早急な対応が必要そうです。
でもってmmaacc.ddo.jpを名乗るこのサーバに異変が見受けられたのが昨日…。後から見つけた限りではその前夜、3日金曜の19時台からだった様なのですが、とにかくサーバにアクセスしようとしてもレスポンスが返ってこない、何も受け付けない…という状態だったわけです。そんな訳で昨日更新しようとしたポストも諦め、何でこんなに重いのか?というところを何となく探し始めたわけですが…。
サーバに仕込んであるHotSaNICの『netstat - TCP connections』が見たことも無い状態になっていましてですね、ははぁ、これが原因か!?となった訳です。でもそもそも、何故この様なことになってしまったのかはよく分かって無かったりするんですが、取りあえずsshで入ってみたいりしてリスタートしようとしてもそのコマンドすら受け付けて貰えず…。
このサーバ、VPSなんで毎週日曜早朝にあらゆるプロセスが強制再起動してるフシがあったのでそこでサーバ自体を再起動させちゃえ…ということで先ずはその辺から作業開始なのでありました。無事、立ち上がって来たところでサボりまくっていたYumを実行、85パッケージほど更新して取りあえずログを漁ってみます。
幸いなことに、サーバの再起動以降は先のSocket statを食いつぶす様な動きは見られないのでログから3日金曜〜4日土曜あたりの動きを追ってみることにしました。
Oct 3 19:52:02 dti-vps-srv★ yum: Updated: bash-3.2-33.el5_11.4.i386
※ ★の位置にはサーバ番号が入っている
ほへ?何ですか?これは?自分ではこの時はサーバを一切触っていないので覚えがないのですが…。まぁ恐らくはサーバの所有者(VPSの提供者)が勝手にアップデートしちゃったに違いありません。緊急性が高く、余所への影響が大きいという判断なのでしょう。
でもね、その後からですよ、先のSocket食いつぶしちゃってたのは。sshで入ろうにも溢れちゃってて繋がらないとか、手の打ちようが無くなっちゃうのでどうしようもなくなっちゃいます。やるならもうちょっとしっかりして欲しいと思うのですが。いや、その前にちゃんと自分で対応しろよ、という声が聞こえて来そうなのでこの辺で終わりにします。まぁ何事も無くて良かった良かったということで。
コメントする