みみずくさんの備忘録

やりたいなぁとかやったことをとりあえずゆっくり書いてくブログ

Bash on Ubuntu on Windowsの罠的な何かを見つけた話

タイトル通り、なんか罠というか穴を見つけた話ですが最初に断っておきますが、

あくまで情弱な僕が偶然見つけたもので、その確認方法もプロの方からすると間違っているかもしれませんのであしからず...

しかも調べていくうちにこれ常識だな、と思うものが多かったのでたぶん僕が勉強不足なだけです。温かい目で見てくださいね。


それから、後日知りましたがanniversary update来てすぐに同じ内容のことを書いてる方が居たので完全に二番煎じでした。

 

Bush on Ubuntu on Windowsの罠

とあるセキュリティについてのセミナーに行った僕は、我が家のローカル環境に脆弱な

部分がないかをチェックするためにnmapでポートスキャンをしてみると...

f:id:mmzuku-quality:20161024200603p:plain

...お分かりいただけただろうか、このマシン、サーバじゃないんだぜ...

なぜかサーバとして使っているわけでもないマシン(この記事書いてる娘)が

ポート全開で待機してる...なんで!?

しかも家族で使ってるマシンでは下のように一切ポート開放はされていない模様

f:id:mmzuku-quality:20161024200602p:plain

ってなわけで穴が開いてるマシンの各ポートの役割と何してるのかを調べてみました。

 

22/TCP SSH

当然SSHのポートですね、でもこのマシン特にSSHの設定してないのになんで空いてんのよっていうわけで一応telnet使ってアクセスしてみると...

f:id:mmzuku-quality:20161024200605p:plain

見にくいと思いますが、「SSH」の文字がありますよね。完全にこれSSHでアクセスできちゃう奴じゃん...しかも標準ポートかよ...

この後に一応別マシンでsshしてみたところ、見事成功しました。特に興味深いのが

使えるコマンドがUNIX系統のコマンド、つまりはBush on Ubuntu on Windows のほうじゃなくてWIndowsコマンドプロンプトで使うコマンド(DOSのコマンド?)のみ使えるようですね。

今思い返してみると、画像では消してますがWINの文字があったのでたぶんwindows用のSSHサーバがインストールされるのかもしれないですね。

 

ちなみに家族共用のマシンではつながらなかったです。

f:id:mmzuku-quality:20161024200604p:plain

 

80/TCP HTTP ・ 443/TCP HTTPS

はい、http/httpsのポートです、当然普段使い用のマシンなのでサーバなんて立ててません。こっちにも一応telnet使ってGETリクエストを投げてみたところ...

f:id:mmzuku-quality:20161024200601p:plain

501エラー吐かれました、意味は「サーバーは、リクエストを実行するために必要な機能をサポートしていない。

当然ですね、たぶんapacheもNginxも入れてないのでどう返すんだよって感じです。

httpsはhttpで何も返さないのなら試すまでもないと思って確かめていません。

ほかにこうすればなんか返すんじゃね、という突っ込みがあればお願いします。

 

139/TCP NetBIOS-SSN・445/TCP Microsoft-DS ・2869/TCP ICSLAP

これだけはよくわからなかったので調べてみたら、どうやらこの三種類はMicrosoftのファイル共有サービスのためのポートらしいことがわかりました。そういえばNetBIOSとかは前に聞いたような...

用途は社内のファイル共有とかをするやつらしいのですが、当然そんな機能使うわけがないんですよね。

あとどうやらこれのせいでいろいろ攻撃される危険があるらしく、放置するわけにはいかないようです。そのうち塞ぎます...

 

まとめ

ハニポかよ!!!!!

というかむしろバックドアでも仕込まれたんかと思うくらい意味のないポートが開いてて怖いです。しかもこれ僕のマシンだけで家族用のと比べてみるとBash on Ubuntu on Windowsの有無だけだと思うのでデフォで開いちゃうのかなぁと。

 

そんなわけで、たぶん僕が情弱なだけでどっかで開けてたりしてるのかもしれませんが

ここまで読んでいただきありがとうございましたm(_ _"m)