ConoHa事変 その1(2021/10/07) [仮想化]
ちょっと怖い事件が起きました。皆さんはどのように捉えられますでしょうか。
発端は、ConoHa VPSで運用しているメールサーバ(中継サーバ)からメールが届かなかったことです。Steamのコード認証で、待てど暮らせどSteamからの認証メールが届かないのです。おそらくこのコード認証行為を行っていなかったら、発見はもっと遅くなったでしょう。
あれ?と思い、メールサーバにsshで接続しようとしたのですが、なぜか接続できません。ConoHa側のメンテナンスでシャットダウンでもされてしまったのかと思い、ConoHaコントロールパネルからコンソールに接続すると、ちゃんと稼働しています。
ネットワークに不具合か?と思ってwww.yahoo.comにpingを飛ばしますが、なぜか応答がありません。DNS関連?と思いつつ、デフォルトルータ(ここでは便宜上192.168.10.254とします)にpingを飛ばしてもなぜか応答がない。
さらにおかしいなと思いつつログを見て愕然としました。マジモンのarpスプーフィングです。MACアドレスの00:00:0c:9f:~は、CISCO HSRPv2の仮想MACアドレスですから、こちらがおそらく本物なのでしょう。
MACアドレスNG:NG:NG:NG:NG:NG(伏せ字)の正体が分かりませんから、百に一つ、機器故障か何かではないかと信じたいところもありました。それにうちのOpenBSDサーバが狂った可能性もありますから。
まあVPSのコンソール画面は手元で握っていますので、仮にネットワークアンリーチャブルになっても復旧可能と考え、再起動してみることにしました。
起動時のログを眺めていると…
乗っ取られようとしている! これはマジでヤバいやつです。
その2へ続く。
発端は、ConoHa VPSで運用しているメールサーバ(中継サーバ)からメールが届かなかったことです。Steamのコード認証で、待てど暮らせどSteamからの認証メールが届かないのです。おそらくこのコード認証行為を行っていなかったら、発見はもっと遅くなったでしょう。
あれ?と思い、メールサーバにsshで接続しようとしたのですが、なぜか接続できません。ConoHa側のメンテナンスでシャットダウンでもされてしまったのかと思い、ConoHaコントロールパネルからコンソールに接続すると、ちゃんと稼働しています。
ネットワークに不具合か?と思ってwww.yahoo.comにpingを飛ばしますが、なぜか応答がありません。DNS関連?と思いつつ、デフォルトルータ(ここでは便宜上192.168.10.254とします)にpingを飛ばしてもなぜか応答がない。
さらにおかしいなと思いつつログを見て愕然としました。マジモンのarpスプーフィングです。MACアドレスの00:00:0c:9f:~は、CISCO HSRPv2の仮想MACアドレスですから、こちらがおそらく本物なのでしょう。
arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 arp info overwritten for 192.168.10.254 by NG:NG:NG:NG:NG:NG on vio0 arp info overwritten for 192.168.10.254 by 00:00:0c:9f:xx:xx on vio0 …永遠と続く
MACアドレスNG:NG:NG:NG:NG:NG(伏せ字)の正体が分かりませんから、百に一つ、機器故障か何かではないかと信じたいところもありました。それにうちのOpenBSDサーバが狂った可能性もありますから。
まあVPSのコンソール画面は手元で握っていますので、仮にネットワークアンリーチャブルになっても復旧可能と考え、再起動してみることにしました。
起動時のログを眺めていると…
duplicate IP address 192.168.10.100 sent from ethernet address NG:NG:NG:NG:NG:NG
乗っ取られようとしている! これはマジでヤバいやつです。
その2へ続く。
タグ:conoha
コメント 0