zabbixサーバのbot感染について
zabbixサーバがbot感染している可能性があるため原因や対応・対策方法のご教示をお願いします。
以下、経緯とともに報告します。
①アラートの発生
10/20の7時ごろから以下のアラートが発生しました。
Too many processes running on zabbix 2017/10/20 07:02:11 最新値:58 障害前最大値:13
Processor load is too high on zabbix 2017/10/20 06:57:16 最新値:27.77 障害前最大値:4.23
②ログを確認⇒maillogに不明なログを発見
maillogに身に覚えがないアドレスへメールを送信しているようなログが発生している。
以下が一部のログです。発生は①と同じ時間帯からです。
Oct 20 15:32:59 zabbix postfix/error[24287]: EADC64B4FED: to=, relay=none, delay=1089, delays=1085/3.7/0/0.08, dsn=4.0.0, status=deferred (delivery temporarily suspended: SASL authentication failed; server smtp.sendgrid.net[169.45.***.***] said: 535 Authentication failed: account disabled)
Oct 20 15:32:59 zabbix postfix/error[24305]: E75754B556F: to=, relay=none, delay=1036, delays=1032/3.7/0/0.07, dsn=4.0.0, status=deferred (delivery temporarily suspended: SASL authentication failed; server smtp.sendgrid.net[169.45.***.***] said: 535 Authentication failed: account disabled)
Oct 20 15:32:59 zabbix postfix/error[24309]: EE59F4B493E: to=, relay=none, delay=1153, delays=1149/3.7/0/0.06, dsn=4.0.0, status=deferred (delivery temporarily suspended: SASL authentication failed; server smtp.sendgrid.net[169.45.***.***] said: 535 Authentication failed: account disabled)
③/tmp配下の確認
URLを参考に/tmpの配下を確認するとzabbix権限で「uk.tgz」等の不明なファイルができていました。
以下が/tmp配下です。(一部削除していますが原因と思われるファイルを残しています。)
[root@zabbix tmp]# ls -la
total 836
-rw-rw-r--. 1 zabbix zabbix 1506 Oct 20 17:04 a
drwxrwxr-x. 4 zabbix zabbix 4096 Oct 16 19:06 .httpdlog
drwxrwxr-x. 2 zabbix zabbix 4096 Oct 16 16:16 .local4
drwxrwxr-x. 2 zabbix zabbix 4096 Oct 17 14:27 .local5
-rw-rw-r--. 1 zabbix zabbix 240 Oct 20 17:03 r
-rw-rw-r--. 1 zabbix zabbix 10307 Oct 20 17:05 t
drwxr-xr-x. 3 zabbix zabbix 4096 Oct 20 17:09 .uk
-rw-rw-r--. 1 zabbix zabbix 771223 Oct 18 16:39 uk.tgz
/tmp配下のファイル類を削除することで一先ず対応したいと思います。
情報が少ないかもしれませんが原因と対応・対策方法のご教示をお願いします。
-------------サーバー情報(zabbix共通)-------------
zabbixバージョン:3.0.2
サーバー:CentOS Linux release 7.3.1611 (Core)
------------------------------------
TNK - 投稿数: 4671
侵入された場合、何をどこまで仕込まれたかわかりませんので、
新規にOSから再インストールすべきだと思います。
原因はわかりません。
こまめにZabbixだけではなく、OSの更新も行うようにするなど、
セキュリティ対策を見直すようにしてください。
wakaba - 投稿数: 228
広瀬です
ZABBIX本体、及びそれらの連携に関わる話題ではなく、何らかの不正アクセスに
遭ってしまわれたお話に聞こえます。
少なくとも即時ネットワークから切り離し、対外的に問題にならないように処置される
べきだと思います。ご質問される以前に適切な処置を行う事を先行に実施なさって
ください。
※ネットワーク設定も適宜見直して下さい。少なからず侵入を許してます
不運かとは思いますが、影響を受けてしまったシステム、及びその周辺システムにも
問題が無いか確認してください。但し何がどうなっているのかは全くわかりませんので、
独力で対応されるしか手段は無いかと思います。
fsk - 投稿数: 36
TNK様、広瀬様
ご回答いただきありがとうございます。
OS再インストール、ネットワーク強化をするように進めています。
参考URLを張り忘れていましたが過去の同じような問い合わせをみつけ、
zabbixユーザで不明なファイルが作成されていたこともあり何か情報をいただければと思い投稿いたしました。
参考URL
http://www.zabbix.jp/node/3770
構築段階でセキュリティも甘かったので対策をすれば問題ないと認識させていただきます。
ありがとうございました。
TNK - 投稿数: 4671
参考にされたURLに書いた以上の情報はありません。
同じ脆弱性を利用した攻撃であっても攻撃方法は様々です。
参考にされたURLにも上にも書きましたが、不具合や脆弱性の問題
は日々新しいものが確認されています。
こまめに脆弱性情報などを収集して、速やかに対策されたバージョ
ンにアップデートすることをお勧めします。
fsk - 投稿数: 36
TNK様
ご回答ありがとうございます。
この経験を生かし脆弱性について対策をしてきます。
ありがとうございました。