Linuxの不正アクセスについて。

Webサーバとして使用しているLinuxサーバにおいて、DoS攻撃をのぞく、様々な不正アクセスが過去にあったかどうか調べる方法を教えてください。

Apacheやシステムのログなどを確認し、このような特徴があった場合は、○○という類のアタックが仕掛けられた可能性がある、という感じでお願いします。

※極力他の方との重複回答は避けてください。
 補足などはもちろんOKです。

回答の条件
  • 1人2回まで
  • 登録:2006/12/04 12:16:10
  • 終了:2006/12/11 12:20:03

回答(2件)

id:inokuni No.1

いのくに回答回数1343ベストアンサー獲得回数212006/12/04 14:03:58

id:katsube

ありがとうございます!

>きりがないような気がします

問題ありません。

思いつく限りあげてくださいませ。

2006/12/04 14:11:52
id:kurukuru-neko No.2

kurukuru-neko回答回数1844ベストアンサー獲得回数1552006/12/04 15:37:42

ポイント35pt

Linuxがのっとられた場合は、A#1のように

記録改竄は、簡単です。

適時セキュリティー対策を行っている前提すると

以下のようなセキュリティー関連のサイトで問題となった

脆弱性があるソフトを利用していた場合、該当するソフト

へのアクセス記録を調べる又は、事前に日本であれば

JPCERT(http://www.jpcert.or.jp/announce.html)

等の情報収集が重要です。

有償であれば

 各サービスの機能一覧にあるような事が改竄の

 検出又は、見つける

 http://www.nsd.co.jp/webalarm/function.html

 http://www.bcm.co.jp/site/security/04security10.htm

 http://www.necsoft.com/solution/bigip/document/n+i/nes.pdf

http://www.cosm.co.jp/24-7/watch/price.php

無償だと

 事前対応必要ですがIDSソフト等を入れる

Tripwire

http://kajuhome.com/tripwire.shtml

rootkit

自前でするなら

 OSのディスクをハードウェアでミラーリングしたものを

 別のハードウェアでオリジナルデータと比較する方法がある。

 (OSも汚染されているので使えないと考えるから)

 一台のサーバでは検出は困難です。 複数のサーバー

 や、データの一部をデータベース等のように侵入者が

 しらない方法や記録していない限り、過去のデータは

 消されてしまっているので。 

 複数のサーバでバックアップがあればその

 データとの相違があれば攻撃があった考える事は出来ます。

 

===================================================

http://secunia.com/search/?search=Apache&w=0

http://secunia.com/search/?search=Linux+Kernel&w=0

CVE

http://cve.mitre.org/

CERT

http://www.cert.org/

JPCERT

http://www.jpcert.or.jp/

BUGTRAQ

http://www.securityfocus.com/

  • id:katsube
    #すみません、コメントつける前に自動終了してしまいました(^^;

    kurukuru-nekoさんありがとうございました!
    やはり複数サーバでの検証が有効なんですね。台数が増えてくると大変そうですが(^^; 実際に運用されている方は専用ソフトを入れられているケースが多いのでしょうか?

    また日々の情報収集もかかさず行おうと思います。
    ありがとうございましたー。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません