Clever Geek Handbook

Amazon EC2のUbuntuイメージのバックドアをチェックしてください!

11月に、良いkarohosの男karohosは、Amazon Cloudで無料のパーソナルVPN(Amazon Free VPN )を編成するための優れたレシピを共有しました。 要するに、見逃した人のためのアイデアは、OpenVPNが設定され、Amazonの無料割り当てに収まるUbuntuサーバー10.04からマイクロイメージを起動し、絶えずアップグレードすることです(1年間だけ与えられます)。 私を含め、多くの人がこの機会を利用しました。



本日、Amazonから「あなたの行動が必要です」という見出しの手紙を受け取りました。 手紙の要約:

こんにちは



私たちは最近、公開されているAMIイメージの内部に公開SSHキーが含まれており、イメージの作成者がrootとしてログインできることに気付きました。 また、ログによると、このAMIから起動された(または持っていた)インスタンスがあります。



侵害された AMI: ami-c2a255ab

アカウントID:xxxxxxx

インスタンスID(s):xxxxxxx



何とか何とか、緊急にすべてを他のインスタンスに転送し、このAMIインスタンスからこれ以上開始しないでください。 また、このキーを使用してインスタンスへのアクセスをブロックします。 これを行うには、次の内容の「/root/.ssh/authorized_keys」ファイルと「/home/ubuntu/.ssh/authorized_keys」の行を見つけて削除します。



SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAABAQCU8QRvONa / Rv4mXSDMVFX7EnIiJd2nuQ0mUHPTGNUCq0PjyNemjXTLztxfbA9q8 + S9T7q1UJG3dp49EzE1Gq8KAQm6vmSn80pPrm3hTHAmiBboIZzoqv6PSedkUvZyqqBn1NK0VZxGH7JvsagW95R2AfTdEwdXRjorxtPzi / MpYdoOzM41yzysyjmIZYdeOcZLliLfv9B31lTaFY2RfxpJ4TWlKh1Fo4 / IyUyd3uyih17ucbKiSdJ2G5iYS01wL18o9Ett8cyjtrYXDewEsGtrL0taQMuPpiD66 + HE37k4GWwNho6vsMSO1qbeTY431EQSaIrr / SKn8ToqnnLBy6On教祖



何とか何とか、ご不便をおかけして申し訳ありませんが、

Amazon EC2セキュリティチーム。



ami-c2a255abは、そのトピックでkarohosが言及しまさにそのイメージです。 Googleはこのような手紙を受け取っただけでなく、親切な人が既にPasteBinに投稿していることを助けてくれました 。 (面白い、PasteBinはTwitterと競争し始めている:)



私は居心地の良いVPVチクに行ってチェックしました。 ubuntuではこのキーを以前に削除しましたが、rootでは削除しませんでした。 彼は、インスタンスのセットアップ時にこれらのキーを見たことがあり、それらの存在に驚いたことを思い出し始め、アマゾン自身がそれらを必要とするかもしれないと考えました。 Amazon EC2、またはサーバーUbuntaのセットアップを扱う必要があったのはこれが初めてでした。 一般的には、サーバーにアクセスできなくなるのではないかという懸念からそれを除外しました。



無関係な入り口のログは見ませんでした。 ローテーションのデフォルト設定では、ログは約1か月間保存されました。 いくつかのボットがSSHポートに絶えず振り回されていない場合、おそらくもっと多くのボットが生き残っていただろう。



チェックするコマンド: 

  #Ubuntuのキー
 sudo cat /home/ubuntu/.ssh/authorized_keys
 #ルートのキー
 sudo cat /root/.ssh/authorized_keys
 #SSHログイン
 grep Accept /var/log/auth.log*
 zcat /var/log/auth.log.?.gz | grep Accept


authorized_keysには、インスタンスの作成時にAmazonから提供されたキーが1つしかありません。 他のキー(自分のものではない)がある場合は、それらを削除します。



侵入の可能性が何らかの形で隠されていないため、完全な意味でバックドアと呼ぶことができるかどうかはわかりません。 ほとんどの場合、キーはこの画像の作成者から残っただけで、悪意はありませんでした。 もっと興味深い質問は、Amazonの警備員は正確に何に反応しましたか? おそらく、クライアントの1人の苦情に、彼らがそれに乗り込んだのでしょう。 (手紙はこれを明示的に述べていませんが。)しかし、秘密鍵の所有者だけがこれを行うことができます。つまり、画像の作成者です。



いずれにせよ、顧客への懸念(および評判)は尊重されます。 クラウドサービスの良い例です。



UPD。

SilenceAndyが示唆するように、Ubuntuには、恐れることなく使用できるAMIページがあります: 8.04、9.10、10.04、10.10、11.04 b1



UPD2

この画像の作者であるPaulo Fisch(グル)は、彼のブログで購読を停止しています:

AMI-c2a255abイメージは削除されます。これは、SSH公開キーを愚かにそこに残したためです。これにより、このAMIから実行されているすべてのインスタンスにログインできます。

ご不便をおかけしましたことをおthisび申し上げます。これは、悪意によるものではなく、経験不足によるものであることを保証します。

実際、コメントで彼らはこれを指摘しましたが、それから私はすべての結果に感謝しませんでした。 私のせい!


More articles:


All Articles