私は自宅サーバーを運営していますが、最近、このサーバーを踏み台にして掲示板荒らしを行う輩が現れました。

おかげで、こちらは困っていますが、何が原因かわかりますか?詳しい条件は以下のとおりです。

@FreeBSD 6.0-p2
@Apache2.x(ただし最新版ではない)でWeb鯖、80番ポートをルータにて開放。
@ProFTPDでftp鯖、20番ポートをルータにて開放。
@OpenSSHにてリモートコントロールしているがSSHはルータでブロックしている。
@家族など身近で荒らしを行えるような可能性はありません。ないものとしてお考えください。
@ただし、1人に鯖空間を貸与。Not suEXEC。

もし、最後の条件以外が原因となればそれの対策をしておきたいです。ありえる要素とその手段、対策方法を探すか教えてください。お願いします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/04/15 22:30:34
  • 終了:2006/04/22 22:35:03

回答(3件)

id:hamster009 No.1

hamster009回答回数3431ベストアンサー獲得回数502006/04/15 23:25:06

ポイント27pt

http://www.yahoo.co.jp/

最後の条件が一番問題ですが、

その他にもApacheは設定次第でproxyサーバーとしても使えます。

どっちにしろ、system.logやApacheのログ

通常は

/var/log/system*

/var/log/httpd/*

を一度見てみて、掲示板荒らしの時刻に誰が利用しているかを

まず確かめるべきでしょう。ただのproxy利用であれば、

ログまでは消せないと思います。

ログが消されていれば、問題の利用者か他からのクラッキングが

疑われます。

id:tpichu

あ、いい忘れましたが・・(かなり重要だった。)

Proxyとつくモジュールはコメントアウトして読み込まないようにしていますが、それでも無意味でしょうか。

荒らしの時刻にipfw(FreeBSDのカーネルレベルのFW)のログを調べると確かにアクセスした形跡がありますが、どのように忍び込んだかがさっぱりです。

また、サーバーから相手にアクセスするとき、こちらのポート番号は6万台でした。(他にもあるかもしれませんが。)

2006/04/16 07:44:43
id:kai10 No.2

kai10回答回数115ベストアンサー獲得回数32006/04/15 23:36:23

ポイント27pt
  • 不要なdaemonがあるならば止める
  • おかしなプロセスがないか確認する
  • 必要のないポートは閉じる

確認→http://www.speedguide.net/portscan.php

  • chkrootkitなどで、rootkitが仕組まれていないか確認する
  • tcpdumpやsnoopなどで、おかしなパケットがないか調べる。
  • netstatで、ポートの使用状況と使用しているプロセス、プログラムを調べる

とりあえず、こんなところでしょうか。掲示板荒しならば、ボットに感染してるということも考えられますね。

他の人の迷惑になることを考えると、対策が完了するまではネットワークから隔離することをお薦めします。対策が出来ないようであれば、そのスキルが身につくまで、レンタルサーバ等を利用されることをお薦めします。

id:tpichu

とりあえず最低限のこととして、ルータからは各種ポートの穴を消し、サーバーは電源を落としています。

情報が集まり次第、対策を練ろうと思っています。

2006/04/16 07:46:18
id:otsune No.3

otsune回答回数35ベストアンサー獲得回数52006/04/16 08:47:40

ポイント26pt

ユーザーのCGIがHTTPプロクシの踏み台になっている可能性もあるかも?

でも念のためにdaemonの類いが仕込まれているのか、調べたほうが良いと思います。

  • 一般的なセキュリティに関する情報はjmanのsecurity(7)を読んでみてください
  • security/chkrootkit をインストールしてチェックしてみてください
  • security/rkhunter をインストールしてチェックしてみてください
  • /etc/rc.confにaccounting_enable="YES"を指定してアカウンティングを有効にする。(lastcommでコマンド履歴が取れるようになる)
id:tpichu

なるほど。いろいろありますが、manを参考にしながらぼちぼち調べてみます。

進展があるかもしれないので、質問は終了せずに、このまま残しておきます。

2006/04/16 11:59:42

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません