DDoS攻撃の被害に会いました

久しぶりのブログ更新です.

結論から言うと,2月21日に私が借りているさくらのVPSのサーバがDDoS攻撃の対象となってしまいました.これがきっかけで2月の下旬から結構バタバタしていました.

今回は受けたDDoS攻撃の概要とその対処についてまとめておきたいと思います.

DDoS攻撃の概要

2月21日19:26にさくらインターネット株式会社カスタマーセンターから「【重要】DoSアタック発生による通信遮断処理のご報告」といった件名のメールを受け取りました.内容は私が借りているVPSがDoSまたはDDoS攻撃を受けているため,他のお客様への影響を考慮し,ネットワークから一時的に隔離するという処置を行ったというものでした.同時にフィルタリング処理を行った時点の送信元IPアドレスやカントリーコードが記された簡単なログが記載されていました.

このログから送信元IPアドレスが少なくとも100個以上はあったことが分かるため,DDoS攻撃と判断しました.

その後,同日21:03に攻撃の収束を確認したので通信遮断処置を解除するという旨のメールをいただきました.VPSではハニーポットの運用を行っていたため,守るべき情報資産は存在せず,このブログのビューもほとんどないに等しいためDDoS攻撃を受けたことによる被害は全くと言っていいほどありませんでした.しかし,セキュリティを勉強している身としてDDoS攻撃の標的となってしまったこと,そしてそれを防ぐことができなかったことが非常に悔しく感じました.

DDoS攻撃の原因について

今回なぜDDoS攻撃を受けてしまったのか,その原因を調べることにしました.さくらインターネット株式会社からのメールのログからVPSの80番ポート宛に攻撃が行われたということは見当がついたのですが,VPSの上位の通信遮断システムで検知と同時に遮断を行うようで,運用するVPS内にDDoS攻撃のログは全く残っていませんでした.よって80番ポートに対してどのようなリクエストで攻撃したのかがわからず,脆弱性を利用したものなのかどうかすらわかりませんでした.

そこでさくらインターネット株式会社カスタマーセンターに連絡を取り,原因と再発防止について相談を行いました.同社によるとさくらのVPSサービスを利用するユーザのうちDDoS攻撃の被害を受けるユーザは全体の0.05%未満しかいないらしく,その大半が以下のようなサーバとのことです.

  • サーバが乗っ取られ,DDoS攻撃を行っている
  • サーバが乗っ取られ,ブルートフォースアタックを行っている
  • サーバが乗っ取られ,コメントスパムやスパムメールの送信元になっている
  • オープンプロキシ(公開プロキシ)が設置されている
  • 違法性の高いコンテンツを公開している

これを受け,もう一度サーバのログを調べ,マルウェア感染やバックドア,CMSのバージョンやメールサーバの設定を確認したのですが,サーバが乗っ取られている痕跡も設定ミスも見つけることができませんでした.しかし,サーバが乗っ取られていないという保証もない状態でブログやメールサービス,ハニーポットの運用を続けるわけに行かないので,サーバのOSを再インストールし,システムのリプレースを行うことにしました.

今回の反省点

今までは金銭的都合や初めてのVPSだったため,VPS1台でハニーポット,Webサーバ,メールサーバ等の運用を行っていました.この複雑極まりない構成のせいで,OSの再インストールを行う際にサービスの復旧に非常に時間がかかってしまいました.そこでメールサーバやWebサーバといった継続的な運用を必要とするサービスと,ハニーポットといった危険を内包するサービスをそれぞれ別のサーバに分けた構成にすることで,万が一のことがあった場合にハニーポット側のサーバのみにOSの再インストールを施せるようにしました.

おわりに

今回のDDoS攻撃においてさくらは対応が非常に早く,対応も丁寧でさくらでVPSを借りていてよかったと思いました.色々とありがとうございました.

ここだけの話,低スペックなサーバで色々なことをしていたため,サーバのリソースが全く足りていませんでした.そこでこれを気にWebサーバやメールサーバを運用しているVPSをスケールアップしました.これにより今までよりも余裕を持った運用や,ハニーポットの管理を行うことができるため,ELKを導入してハニーポットのログの一元管理化を行いました.これについては余裕があれば記事にしたいと思います.