【セキュリティ】主にUNIX/Linux系サーバーを踏み台にしたIP電話機器への攻撃が急増(11/02/09)

　JPCERTコーディネーションセンター（JPCERT/CC）は2011年2月8日、主にセキュリティ対策が不十分なUNIX
およびLinux系サーバーが不正アクセスを受け、これを踏み台としたIP電話機器（SIP対応）への攻撃が急増して
いるという調査結果を公表し、サーバー管理者などへ広く注意を呼びかけた。

　JPCERT/CCによれば、2010年7月ころから、IP電話機器などが使うプロトコル「SIP」（Session Initiation Protocol）の
待ち受け用ポート番号である「UDP5060番ポート」を狙ったスキャンや辞書攻撃が急増しているという。

　国内およびアジア太平洋地域のインターネット定点観測データや、同データと攻撃に使われていると思われる
プログラムで生成したパケットとの比較解析結果などから、攻撃をするための「踏み台」としてUNIXおよびLinux系
サーバーが侵入を受けて使われていると予測している。スキャン方法の特徴から、同期間にUDP5060番ポートを
狙ったスキャンの約8割がUNIX/Linux向け攻撃プログラムによるものだった可能性が高いという。

　調査結果を受けてJPCERT/CCでは、UNIX/Linux系サーバーの管理者に向けて、（1）同様なプログラムが動作
していないかどうかの確認、（2）ファイアウオールやIDS（Intrusion Detection System、侵入検知システム）のログに
UDP5060番ポートを対象としたスキャンを実行した形跡がないかの確認---などの対策をとるよう呼びかけている。

　サーバーの「/.old/aloha」ディレクトリに、「svmap」「svwar」「svcrack」「svreport」「svcrash」などの名前が付いた
ファイルが存在するかどうかもチェックすべき項目だという。その理由としてJPCERT/CCでは、踏み台攻撃の被害を
受けたユーザーからの報告で、SIPスキャナやPBXの特定、SIPパスワードクラックなどのプログラムが上記パスに
これらのファイル名で置かれていたためとしている。

http://itpro.nikkeibp.co.jp/article/NEWS/20110209/357055/

とりあえずクリーンインストールしてくる

クリンコか
IP電話機器でクリンコ？

IP電話にどんな攻撃されてるか全然不明。SPAM送るくらいか？

asteriskにレジストされて、国内の固定電話に発呼されたことなら orz

わけわかんないから、すべてのサーバーでSELinux無効にしてるよ。
ちゃんと勉強しなきゃあかんかなぁ・・・