[debian-users 00264] Re: *.amazonaws.comとの通信

Papils debian @ virtualowl.net
2018年 3月 23日 (金) 18:04:10 JST


詳しい説明ありがとうございます。
Debianの仕様とは全く関係がないこと、どういうリスクが想定できるのかと言ったことがある程度掴めました。
KNOPPIXで初期化した後、Debianをインストールしただけでこのような状況になっていることに正直驚きと戸惑いを隠せません。

一人で抱え込まずに、プロバイダや警察などと相談しながら、ひとつずつ、少しずつ、出来ることからやってみたいと思います。ご丁寧なお返事ありがとうございました。



On 2018年03月23日 13:02, Tatsuki Sugiura wrote:
> 杉浦です。
>
> もうあんまり Debian 関係ないですが……。
>
>> 11:17:57.253119 IP UralOwl.38914 >
>> ec2-13-114-184-94.ap-northeast-1.compute.amazonaws.com.https: Flags
>> [.], ack 2743, win 512, options [nop,nop,TS val 1153550 ecr
>> 986166369], length 0
>> UralOwlが私のメインマシンです。
>> 接続先がamazonawsのホスト名になります。
>> "ec2-"と"compute.amazonaws.com"の間は同様ですが同一ではありません。
> AWS 側が HTTPS ですね。
> とすると、少なくともその Debian 側から通信しているのはほぼ間違いないでしょう。
> ただ、その Debian ホスト自身が通信を始めているのか、何かの方法で踏み台になって
> いるのかはこれだけだと謎です。
>
> その接続がまだ有効なうちに、
>
>    sudo ss -tpn | grep 38914
>    # jessie 以前なら sudo netstat -tpn | grep 38914
>    
> とか(ポート番号は適宜変えて)すると、通信しているプロセスが特定できるかもしれません。
> # ただ、もし本当に Unix 側に侵入されて root を取られているなら、rootkit とか
> # 入っていて出てこないようにされているかもしれません。
> # あと、 iptables とかでパケットフォアードしている場合も出てきません。
>
> ところで、その接続先ホストに SSL で繋いでみると、 *.zopim.com の CN を持った
> 証明書が帰ってきます。
>
> この zopim.com というのは任意の Web サイトにライブチャットを埋め込むサービス
> みたいですね。 https://jp.zopim.com/
>
> もしその Debian のホスト上で普通にブラウザを使っているなら、埋め込まれている
> サイトに気付かずにアクセスしているかもしれません。
>
> もしくは、何か踏み台として WebProxy 的なものを置かれているとか、そのホストが
> NAT ルータ的な物になってるとか、そういう可能性も一応あります。
>
> あと、AWS のパブリック IP アドレスは変わる可能性があるので、その記録が今日で
> ないなら全然違うかも知れません。
>
>> 方向は、inとoutが頻繁に入れ替わっています。
> はい。通信中はそうなります。
> Syn フラグの付いているパケットの方向を見る必要がありますね。
>
> まあ、ここからは調べるなら、一般的な Unix/Linux 上で使える検査を色々していくと
> 良いかと思います。
>
> 少なくとも、Debian の初期の状態で、自動的に今例に上がっている AWS のホストに
> アクセスする事はないかと。
>
> 逆に、今の Debian マシン上で普通にブラウザを使っているなら、さまざまな AWS の
> ホストの HTTP/HTTPS に向かって通信するのはよくある正常な振る舞いです。
>
>>>> In Message "[debian-users 00261] Re: *.amazonaws.comとの通信"
>>>>             <3330d5e8-96b7-46e2-ce6c-6104081ac5e0 @ virtualowl.net>,
>>>> Papils <debian @ virtualowl.net>  said;
>> 返信ありがとうございます。
>> tcpdumpの記録を引用します。
>> 11:17:57.253119 IP UralOwl.38914 >
>> ec2-13-114-184-94.ap-northeast-1.compute.amazonaws.com.https: Flags
>> [.], ack 2743, win 512, options [nop,nop,TS val 1153550 ecr
>> 986166369], length 0
>> UralOwlが私のメインマシンです。
>> 接続先がamazonawsのホスト名になります。
>> "ec2-"と"compute.amazonaws.com"の間は同様ですが同一ではありません。
>> 方向は、inとoutが頻繁に入れ替わっています。
>> aptには"ftp.jp.debian.org"を設定しています。
>> DebianをGNOMEデスクトップ環境でインストールし、tcpdumpをインストールしてモニタしてみると早速amazonawsにしきりに送信しているので気味が悪いです。
>> もう少し詳しく調べてみたいと思います。ありがとうございます。
>
>> On 2018年03月23日 11:09, Tatsuki Sugiura wrote:
>>> こんにちは。杉浦と申します。
>>>
>>>> amazonawsと通信するのはDebianの仕様でしょうか。
>>> 自分の知る限りだと、初期状態の最小構成 Debian なら、
>>> *.compute.amazonaws.com に*向かって*通信はしません。
>>>
>>> でも、*.compute.amazonaws.com からなら、ssh, SMTP, HTTP(s)
>>> smb, rdp あたりにスキャンが来るのは別に珍しいことではありません。
>>> # それを「不正アクセス」と呼ぶならまあそうですが、別に aws 以外
>>> # にも世界中から一杯来ます。
>>>
>>> 通信と言っても色々あり、発信元ポートと接続先ポート、それから接続の方向に
>>> 注目しないと不審かどうか何とも言えないと思われます(出来ば中身も)。
>>>
>>>
>>> あとちなみに、apt line に ftp.jp.debian.org を設定している場合は、
>>> AWS の DNS とは通信するようです(ns-*.awsdns-*.* みたいなの)。
>>>
>>> これは Debian の仕様、という訳ではなくて、単に ftp.jp.debian.org
>>> が現状 DNS として AWS を使っているからです。
>>> パッケージのミラーは今は AWS 上にはないようなので、apt は compute とは
>>> 通信しないと思われます。
>>>
>>>>>> In Message "[debian-users 00257] Re: *.amazonaws.comとの通信"
>>>>>>              <40a8e16b-a4a3-7f85-80b6-4e18576bc7d8 @ virtualowl.net>,
>>>>>> Papils <debian @ virtualowl.net>  said;
>>>> 説明不足だったので追伸します。申し訳ありません。
>>>> 今回の件で不正アクセスがあったのは、家庭のコンピュータで、ホームページ
>>>> へのアクセスはそれを裏付ける客観的に明らかな証拠になります。
>>>> 不正アクセス被害を受けていたのは家庭のマシンで、そのひとつがDebianにな
>>>> ります。現在はホームページは休止中で、不正アクセス被害を受けているか否
>>>> かは分からない状況です。
>>>> 家庭のDebian上でtcpdumpを利用してモニタリングしていたら、webサイト上で
>>>> 見掛けたものとよく似たアドレスと通信していたので、不審に思っています。
>>>> amazonawsと通信するのはDebianの仕様でしょうか。
>>>> ご存じの方がいらっしゃいましたら教えて頂けると幸いです。
>>>> On 2018年03月22日 23:46, debian @ virtualowl.net wrote:
>>>>> 初めてメールします。
>>>>> Debianを5年少々利用していますが、どうしても分からないことがあったので、今回メーリングリストに登録し、お便りすることにしました。
>>>>>
>>>>> 昨年私の家庭のルーターを経由して、私の管理するホームページへ、私が所有していないOS/ブラウザから、身に覚えのないアクセスがあり、不正アクセスの疑いで今も調査しています。
>>>>> そこで、tcpdump を利用してパケットをモニタリングしていたところ、昨年の不正アクセスの際にも私の管理するホームページへアクセスがあった、*.compute.amazonaws.com などとしきりに通信している様でした。
>>>>>
>>>>> *.compute.amazonaws.comとの通信は、Debianをインストールした段階で起こりうる、全く不正ではない通信でしょうか。tcpdump 以外インストールしていない状況では起こり得ない不審な通信でしょうか。
>>>>>
>>>>> いきなり失礼かとは思いましたが、Debianに関して質問するにはここが適切だと思い、お便りしました。
>>>>> 拙文で読み辛いかとは思いますが、ご存じの方がいらっしゃいましたら教えて頂けると幸いです。
>>>>> よろしくお願いします。
>>>>>
>>>>> 2018年3月22日(JST)
>>>>> Papils
>>>> _______________________________________________
>>>> debian-users mailing list
>>>> debian-users @ debian.or.jp
>>>> https://lists.debian.or.jp/mailman/listinfo/debian-users
>> _______________________________________________
>> debian-users mailing list
>> debian-users @ debian.or.jp
>> https://lists.debian.or.jp/mailman/listinfo/debian-users



debian-users メーリングリストの案内