Chinachuのアクセスログから不審なIPを検知してみる
夏バテかなって感じる。
録画サーバーに @kanreisa さんが作った「Chinachu」を使っていますがそのChinachuが ロシアの有名P2P放流者によってクラックされたらしい。
Chinachuのパスワードを破ったわけではなく、サーバーに設置されたphpの脆弱性を突きcronを実行しシェルスクリプトを流し込みそれによってconfig.jsonが流出した模様
— すど (@sudosan) 2015, 6月 18
私の場合インターネットに公開しちゃってるしただのBASIC認証だし(TLS云々が面倒)なので とりあえずアクセスログ見て不審なIPを通知するようなのを作った。
脳震盪起こしながら書いたので適当さは見逃して下さい。 ホワイトリストを自分で書いて、リスト外IPがあったらツイートされます。
twitteroauthを使うようにして下さい。
でこれを使ってIPアドレスを表示して不審なIPのwhoisを見ると
シンガポールからアクセスがあったり。(このIPは知り合いのだった)
重複処理はしてないので不審なIPがあったらiptablesとかufwでrejectするようにしないと実行される度に通知されるので 何とかしてください。 あとwhoisコマンドでdescrを取得するのでwhoisコマンド使えるようにしておいて下さい。 descr: So-netとかDocomoとか組織の名前 わざわざwhois見に行く手間が省けますよね(?)
iptablesとかなら
[shell] vim /etc/sysconfig/iptables
-I INPUT -s IP -j DROP service iptables restart [/shell]
とかで行けます。
再発は防げるかもしれませんが一発目は防げないし串とか通されたら無理ですけどね^^ 今回のクラック方法が解明されてないけどそれが分かるといいですね。