Zabbix ドメイン名ハイジャック（ドメインの乗っ取り）を監視

2014年11月5日 国内の「.com」サイトでドメイン名の登録情報が不正に書き換えられ、攻撃者が用意した不正サイトに誘導されるドメインハイジャック（ドメインの乗っ取り）が複数発生しているそうです。

ドメイン名管理者としての対策は、利用しているレジストラやリセラーのログインアカウントを適切に管理し、定期的にDNSサーバの登録情報が正しく設定されているか（改ざんされていないか）確認することが求められています。

そこで、Zabbix でドメイン名ハイジャックされていないことを監視する外部スクリプトを作成してみました。

▽ 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起｜JPCERTCC
http://www.jpcert.or.jp/at/2014/at140044.html

ドメイン名ハイジャック監視スクリプトの作成

ドメイン名管理者としては、ドメイン名に対応するIPアドレスの改ざんが最悪の事態ですので、管理しているサイトのドメイン名に対応するIPアドレスを定期的に確認することで、ドメイン名ハイジャックをされていないことを監視します。

・監視スクリプトの作成
sudo vi /usr/lib/zabbix/externalscripts/DomainHijack.php

#!/usr/bin/php
<?php
// ドメイン名の指定
// Zabbixのアイテムキー(第１引数)で指定します
$domain = $argv[1];

// ドメイン名に対応するIPアドレスの指定
// Zabbixのアイテムキー(第２引数)で指定します。複数IPアドレスがある場合は、カンマ「,」区切りで指定
$ipAddr = $argv[2];

// Zabbixのキーでカンマ区切りで複数のIPアドレスを指定した場合は 
// 別の引数として分けられて実行される（by TNKさん） 
if ($argv[3]) { 
    for ($i = 3; $i < count($argv); $i++) { 
        $ipAddr .= ',' . $argv[$i]; 
    } 
}

// ドメイン名に対応するIPアドレス（Aレコード）を取得
$answers = dns_get_record($domain, DNS_A);

// IPアドレスを抽出（複数の場合もある）
for ($i = 0; $i < count($answers); $i++) {
    $ips[] = $answers[$i]['ip'];
}
$ips_sorted = sortIps($ips);
$getIpAddr = ($ips_sorted) ? implode(',', $ips_sorted) : null;

// 比較の前処理
$ipAddr = ($ipAddr) ? explode(',', $ipAddr) : null;
$ipAddr = sortIps($ipAddr);
$ipAddr = ($ipAddr) ? implode(',', $ipAddr) : null;

// 取得したIPアドレスが正しいかを比較　0:NG 1:OK
// ここで表示された値がZabbixデータベースに記録されます
if ($ipAddr === $getIpAddr && $ipAddr && $getIpAddr) {
    echo 1;
} else {
    echo 0;
}

// 複数IPアドレスのソート処理関数
function sortIps($ips)
{
    if ($ips) {
        sort($ips);
        return $ips;
    } 
}

「dns_get_record()」で取得したIPアドレスが複数ある場合もあるため、処理が少しややこしくなっていますが(^^;) 単純にIPアドレスが正しいものかを比較しているのみです。

スクリプトのオーナーを zabbixユーザに変更します。

sudo chown zabbix:zabbix /usr/lib/zabbix/externalscripts/DomainHijack.php

スクリプトオーナー（zabbix）に実行権限を追加します。

sudo chmod 700 /usr/lib/zabbix/externalscripts/DomainHijack.php

動作確認

第１引数に監視するドメイン名、第２引数に対応する正しいIPアドレスを指定します。チェックOKであれば「1」NGの場合は「0」が表示されます。

sudo /usr/lib/zabbix/externalscripts/DomainHijack.php example.com 93.184.216.119
1　←OK

sudo /usr/lib/zabbix/externalscripts/DomainHijack.php example.com 192.0.2.1
0　←NG

※「example.com」のIPアドレスは、2014年11月7日時点のものです。もしかしたら変っているかもしれませんのでご自身で管理しているドメイン名で確認することをおすすめします。

この監視スクリプトの問題点

この記事を公開した日に、なんと！JPRS（日本レジストリサービス）の @OrangeMorishita 様からアドバイスを頂きました。JPRSは日本に割り当てられたドメイン名「.jp」のレジストリ業務を行っている企業です。最近ではテレビCMで見かけた方も多いかと思います。

このサイトのドメイン「apar.jp」も指定事業者を通じて、JPRSさんのお世話になっています（^^）

頂いた問題点と解決方法です。（Twitterリプライより引用）

この方法だとAのTTL分や「まずレジストリのNSを変え、後でそのNSで指定されるAを変える」パターンだと、検知が遅れそうです。

今回はレジストリの権威DNSサーバーに登録される委任に関するレコード（NS/A/AAAA）が書き換えられることにより起こるので、そこを直接チェックするのがよいかと。

今回の騒動はドメイン名「.com」のレジストリに登録される「ドメイン名.com」の権威DNSサーバーの書き換えによって起こった、ドメイン名ハイジャックだったようです。この記事の監視スクリプトでは最終的にはIPアドレスの改ざんを検知できますが、検知までに時間がかかってしまう場合があります。

また、権威DNSサーバーに直接問い合わせることは「dns_get_record()」ではDNSサーバを指定しての問い合わせができないため、digコマンドなどを使って実装することになりそうです。

監視スクリプトを Zabbixアイテムに設定

ドメイン名ハイジャック監視スクリプトを設置するホストを作成します。[設定]→[ホスト]→[ホストの作成]をクリック

適当なホストを作成します。スクリプトを設置するだけの実態のないホストですのでIPアドレス等はそのままでOKです。

作成したホストの「アイテム」をクリックします。

「アイテムの作成」をクリックします。

下記を設定し「追加」をクリックすれば設定完了です。監視するドメイン名と対応するIPアドレスをキーの設定で DomainHijack.php[＜ドメイン名＞, ＜IPアドレス＞] の形式で指定します。IPアドレスが複数ある場合はカンマ区切り（例：192.0.2.1,192.0.2.2）で指定してください。

[監視データ]→[概要] を表示して、取得した値が「1」(OK)となっていることを確認します。

Zabbix通知トリガーの作成

万一ドメイン名ハイジャックされてしまった場合のために通知トリガーを作成します。

[設定]→[ホスト] スクリプトを設置しているホストの「トリガー」をクリックします。

「トリガーの作成」をクリックします。

下記を設定し「追加」をクリックすれば設定完了です。
条件式は、{＜ホスト名＞:DomainHijack.php[＜ドメイン名＞, ＜IPアドレス＞].last()}=0 の形式で指定します。

また、ドメイン名ハイジャックされた時に備えて、レジストラの連絡先や問い合わせ方法を事前に確認しておくことも JPCERT/CCから喚起されています。