bot感染について
2年前に、Centos6のサーバーに、Webサーバー(apache)とメールサーバー(postfix)を構築しました。
そして、さのサーバーにZabbix server v2.2.3をインストールし使用しています。
先週より、このサーバーから送られてくるPostfix log summariesとLogwatchを見ると、どうもbot感染により、大量のスパンメールが海外に送信されていることが分かりました。
いろいろと調べてみたところ、/tmpにzabbixアカウントで、.bディレクトリができており、そこにbotプログラムがみつかりました。
そこで質問なのですが、zabbixの脆弱性によるbot感染をすることがあるのでしょうか。
これからzabbixを3にバージョンアップしてみます。
TNK - 投稿数: 4729
Zabbixだけではありませんが、サーバ上で稼働している様々なプロ
セスに脆弱性があれば、それを利用して攻撃したり踏み台にするこ
とができる可能性があります。
使用されているZabbixのバージョンも2.2.3と古いままのようです
ので、OS自体や各プロダクトもこまめに脆弱性対策を行われていな
かったのではないでしょうか?
JVNやJPCERTなどの情報を参照して、継続して脆弱性対応をするこ
とをご検討ください。
https://jvn.jp/
https://www.jpcert.or.jp/
あと、CentOS 6上でZabbix 3.0のサーバーを構築することはお勧め
しません。
各種プロダクトやライブラリのバージョンが古すぎるので、機能の
制限があったり、PHPのバージョンも5.4以降にするなどの対応が必
要です。
データベースのデータは何らかの方法で移行するとしても、新規に
別のサーバー上に構築しなおした方が良いのではないでしょうか。
ご検討ください。
はやのびとん - 投稿数: 4
コメントありがとうございます。
定期的にyum updateを行っており、OS自体の脆弱性対策を行ておりました。
ただ、仰る通りに、他の要素による影響も十分考えられますので、もう少し調査してみます。
また、centos6上でzabbix3が動作しないことは、投稿後に分かりましたので、別途zabbix専用のCentos7サーバを準備し、そこにZabbix3を導入します。
今後ともよろしくお願いいたします
TNK - 投稿数: 4729
Zabbix自体もZabbixの開発元であるZabbix LLCのyumリポジトリを
使用していれば、yum updateで更新することができます。
それによって、随時脆弱性対応や不具合対応が行われたバージョン
へアップデートすることができます。
Zabbix 2.2系、Zabbix 3.0系、Zabbix 3.2系とメジャーバージョン
毎にリポジトリが用意されていますので、zabbix-releaseのパッケ
ージを入れ替えてしまわない限り、勝手にメジャーバージョンアッ
プされることはありません。
2.2.3から2.2.16など、マイナーバージョンアップで100%問題が発
生しないとは言い切れませんが、データベースのテーブル構成など
の変更は行われません。
安全のため、バックアップを取得しておくことと、同様の環境でバ
ージョンアップを試行して頂いて、問題が無いようであれば、本番
環境でもyumコマンドでアップデートするという運用にすることも
検討してみてはいかがでしょうか。