[debian-users 00263] Re: *.amazonaws.comとの通信

Tatsuki Sugiura sugi @ nemui.org
2018年 3月 23日 (金) 13:02:44 JST


杉浦です。

もうあんまり Debian 関係ないですが……。

> 11:17:57.253119 IP UralOwl.38914 >
> ec2-13-114-184-94.ap-northeast-1.compute.amazonaws.com.https: Flags
> [.], ack 2743, win 512, options [nop,nop,TS val 1153550 ecr
> 986166369], length 0

> UralOwlが私のメインマシンです。

> 接続先がamazonawsのホスト名になります。

> "ec2-"と"compute.amazonaws.com"の間は同様ですが同一ではありません。

AWS 側が HTTPS ですね。
とすると、少なくともその Debian 側から通信しているのはほぼ間違いないでしょう。
ただ、その Debian ホスト自身が通信を始めているのか、何かの方法で踏み台になって
いるのかはこれだけだと謎です。

その接続がまだ有効なうちに、

  sudo ss -tpn | grep 38914
  # jessie 以前なら sudo netstat -tpn | grep 38914
  
とか(ポート番号は適宜変えて)すると、通信しているプロセスが特定できるかもしれません。
# ただ、もし本当に Unix 側に侵入されて root を取られているなら、rootkit とか
# 入っていて出てこないようにされているかもしれません。
# あと、 iptables とかでパケットフォアードしている場合も出てきません。

ところで、その接続先ホストに SSL で繋いでみると、 *.zopim.com の CN を持った
証明書が帰ってきます。

この zopim.com というのは任意の Web サイトにライブチャットを埋め込むサービス
みたいですね。 https://jp.zopim.com/

もしその Debian のホスト上で普通にブラウザを使っているなら、埋め込まれている
サイトに気付かずにアクセスしているかもしれません。

もしくは、何か踏み台として WebProxy 的なものを置かれているとか、そのホストが
NAT ルータ的な物になってるとか、そういう可能性も一応あります。

あと、AWS のパブリック IP アドレスは変わる可能性があるので、その記録が今日で
ないなら全然違うかも知れません。

> 方向は、inとoutが頻繁に入れ替わっています。

はい。通信中はそうなります。
Syn フラグの付いているパケットの方向を見る必要がありますね。

まあ、ここからは調べるなら、一般的な Unix/Linux 上で使える検査を色々していくと
良いかと思います。

少なくとも、Debian の初期の状態で、自動的に今例に上がっている AWS のホストに
アクセスする事はないかと。

逆に、今の Debian マシン上で普通にブラウザを使っているなら、さまざまな AWS の
ホストの HTTP/HTTPS に向かって通信するのはよくある正常な振る舞いです。

>>> In Message "[debian-users 00261] Re: *.amazonaws.comとの通信"
>>>            <3330d5e8-96b7-46e2-ce6c-6104081ac5e0 @ virtualowl.net>,
>>> Papils <debian @ virtualowl.net>  said;
> 返信ありがとうございます。

> tcpdumpの記録を引用します。

> 11:17:57.253119 IP UralOwl.38914 >
> ec2-13-114-184-94.ap-northeast-1.compute.amazonaws.com.https: Flags
> [.], ack 2743, win 512, options [nop,nop,TS val 1153550 ecr
> 986166369], length 0

> UralOwlが私のメインマシンです。

> 接続先がamazonawsのホスト名になります。

> "ec2-"と"compute.amazonaws.com"の間は同様ですが同一ではありません。

> 方向は、inとoutが頻繁に入れ替わっています。

> aptには"ftp.jp.debian.org"を設定しています。

> DebianをGNOMEデスクトップ環境でインストールし、tcpdumpをインストールしてモニタしてみると早速amazonawsにしきりに送信しているので気味が悪いです。

> もう少し詳しく調べてみたいと思います。ありがとうございます。


> On 2018年03月23日 11:09, Tatsuki Sugiura wrote:
> > こんにちは。杉浦と申します。
> > 
> >> amazonawsと通信するのはDebianの仕様でしょうか。
> > 自分の知る限りだと、初期状態の最小構成 Debian なら、
> > *.compute.amazonaws.com に*向かって*通信はしません。
> > 
> > でも、*.compute.amazonaws.com からなら、ssh, SMTP, HTTP(s)
> > smb, rdp あたりにスキャンが来るのは別に珍しいことではありません。
> > # それを「不正アクセス」と呼ぶならまあそうですが、別に aws 以外
> > # にも世界中から一杯来ます。
> > 
> > 通信と言っても色々あり、発信元ポートと接続先ポート、それから接続の方向に
> > 注目しないと不審かどうか何とも言えないと思われます(出来ば中身も)。
> > 
> > 
> > あとちなみに、apt line に ftp.jp.debian.org を設定している場合は、
> > AWS の DNS とは通信するようです(ns-*.awsdns-*.* みたいなの)。
> > 
> > これは Debian の仕様、という訳ではなくて、単に ftp.jp.debian.org
> > が現状 DNS として AWS を使っているからです。
> > パッケージのミラーは今は AWS 上にはないようなので、apt は compute とは
> > 通信しないと思われます。
> > 
> >>>> In Message "[debian-users 00257] Re: *.amazonaws.comとの通信"
> >>>>             <40a8e16b-a4a3-7f85-80b6-4e18576bc7d8 @ virtualowl.net>,
> >>>> Papils <debian @ virtualowl.net>  said;
> >> 説明不足だったので追伸します。申し訳ありません。
> >> 今回の件で不正アクセスがあったのは、家庭のコンピュータで、ホームページ
> >> へのアクセスはそれを裏付ける客観的に明らかな証拠になります。
> >> 不正アクセス被害を受けていたのは家庭のマシンで、そのひとつがDebianにな
> >> ります。現在はホームページは休止中で、不正アクセス被害を受けているか否
> >> かは分からない状況です。
> >> 家庭のDebian上でtcpdumpを利用してモニタリングしていたら、webサイト上で
> >> 見掛けたものとよく似たアドレスと通信していたので、不審に思っています。
> >> amazonawsと通信するのはDebianの仕様でしょうか。
> >> ご存じの方がいらっしゃいましたら教えて頂けると幸いです。
> >> On 2018年03月22日 23:46, debian @ virtualowl.net wrote:
> >>> 初めてメールします。
> >>> Debianを5年少々利用していますが、どうしても分からないことがあったので、今回メーリングリストに登録し、お便りすることにしました。
> >>> 
> >>> 昨年私の家庭のルーターを経由して、私の管理するホームページへ、私が所有していないOS/ブラウザから、身に覚えのないアクセスがあり、不正アクセスの疑いで今も調査しています。
> >>> そこで、tcpdump を利用してパケットをモニタリングしていたところ、昨年の不正アクセスの際にも私の管理するホームページへアクセスがあった、*.compute.amazonaws.com などとしきりに通信している様でした。
> >>> 
> >>> *.compute.amazonaws.comとの通信は、Debianをインストールした段階で起こりうる、全く不正ではない通信でしょうか。tcpdump 以外インストールしていない状況では起こり得ない不審な通信でしょうか。
> >>> 
> >>> いきなり失礼かとは思いましたが、Debianに関して質問するにはここが適切だと思い、お便りしました。
> >>> 拙文で読み辛いかとは思いますが、ご存じの方がいらっしゃいましたら教えて頂けると幸いです。
> >>> よろしくお願いします。
> >>> 
> >>> 2018年3月22日(JST)
> >>> Papils
> >> _______________________________________________
> >> debian-users mailing list
> >> debian-users @ debian.or.jp
> >> https://lists.debian.or.jp/mailman/listinfo/debian-users

> _______________________________________________
> debian-users mailing list
> debian-users @ debian.or.jp
> https://lists.debian.or.jp/mailman/listinfo/debian-users

-- 
Tatsuki Sugiura   mailto:sugi @ nemui.org


debian-users メーリングリストの案内