VPNサーバーが攻撃されていたお話

どうも、赤西真論です。
今日はサーバーに関するお話です。やばいインシデントでは無いけど、気持ち悪いので一応メモがてら書いておきます。
 
さて、このドメインで動作しているサーバーはWebサービス提供以外に自分専用のVPNサーバーが動作しています。
この話は一昨年のアドベントカレンダーの記事にしました。

そこでUbuntuから接続にL2TPでは無く、OpenVPNを利用していると書きました。
そして、そのポートは使わなくなった今まで開放していました。

何が起きたか

このサーバーではDiscordのMusicbotも運用しています。で、それの調子が悪いので久々にサーバーにログインしました。ちなみに未だにきちんと運用できていませんw
これよりも前に一度Ubuntu Serverのバージョンを20.04が出る直前に16.04から18.04に上げたのですが、そのときには何も気づいていなかったんです。てか、18.04にしたことで気づきました。
18.04にするとSSHログイン直後にサーバーの状態が表示されます。そこにはCPUの使用率やメモリの使用率が表示されるのですが、同時にディスク使用率も表示されます。
そして、ディスク使用率を見ると95%とかになっていました。は????
確かに画像をアップロードするKotoriやYayoiが動いていますが、それでも50GBを食い尽くすことは無いはずです。なので、何が食っているのかを探しました。これが5/5のことです。
原因はSoftether VPNのログでした。ログだけで確か40GB以上食っていました。
意味がわからないのですが、まあ導入してから1度もログをまとも消していないし、常時メインマシンが接続してあるからそんなものかと4月までの分を中身を読まずに消しました。
このときに読んでおけば、早く気付けたはずなのですがバカなんですね。ただ、この時点でもう常時接続する必要は無いということでメインマシンのスタートアップ接続は切りました。そもそも実家に帰ってきてからメインマシンは使うとき以外は基本的に電源を落としているので接続してないはずなのですが…
さて、少し日が立ち、19日にもう一度接続しました。するとまたディスク使用率が50%を超えています。なんで????
ということで真面目にログを見ました。まず、容量が1日1GB近くあります。僕が利用していないにも関わらずです。誰も接続していないはずなのにログだけが増えていきます。
流石におかしいということでログを見ました。その結果がこちらです。

はい、大量に知らないIPアドレスからOpenVPNセッションを張られています。これが原因です。このログがずっと記録されていたのです。
ちなみにこれは接続のログなので、おそらく総当たりか何かで攻撃してると思われます。実際、接続後のパケットログは僕が接続したときのログしか生成されていませんので接続に成功したとは考えにくいです。

対応

とりあえず、もう使っていないのでSoftether VPNのOpenVPN機能は切りました。また、ConoHa側のOpenVPN用に開いていたポート1194も閉じました。これで様子を見ることにしました。
その結果がこちらです。ファイルの容量を見てもらえば分かる通り、19日以降のログが極端に減っています。

閉じてからも何故か毎日1回同じIPアドレスからL2TP/IPSecで接続を試みているログが残っているのですが、まあいいでしょう。てか、VPNサーバー自体利用していないのでもう止めてもいいかなと思っています。

教訓

今回は接続に成功した痕跡が無いので良かったのですが、接続されてしまうと踏み台にされる可能性が非常に高いです。
少しでもサーバーに不審な点があった場合は確認することが重要ですね。後から知ったのですが、Softether VPNはログが増えてきて容量が足りなくなると自動的に古いログを削除するようです。ですので、容量不足になっていなかったということですね。
定期的にサーバーの状態を確認することは重要ですね。ログの大切さも知りました。あと、いらないポートを開きっぱなしにするのもよくありません。
 
以上です。ちなみにこれに関して見つけたときにツイートをしたのですが、僕と同様にConoHa上でVPNサーバーを建てている友達も同様の攻撃を受けていたらしいので、同様の運用をしている人は一度確認するべきだと思います。必要ならOpenVPNのポートをデフォルトの1194から変えることをおすすめします。
では。今日はミリオンライブの生配信がありますよ~

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です