先日WEBサーバーで以下の障害が発生しました。

(1)Apacheが停止
(2)SSHが接続できない
コンソールから再起動する事でひとまずは正常に戻りました。
環境は以下の通りです。
OS:Red Hat Enterprise Linux ES release 3 (Taroon Update 5)
WEBサーバー:Apache/2.0.46(RPM)
DB:PostgreSQL 7.3.6(RPM)
※一台のサーバーでApacheを起動し、PostgreSQLも動いています。
※ログは文字数制限で今はのせれません。返信の際にのせます。
宜しくお願い致します。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2007/02/21 16:31:12
  • 終了:2007/02/22 10:19:18

回答(4件)

id:mukaitaiyou No.1

mukaitaiyou回答回数2ベストアンサー獲得回数02007/02/21 16:35:22

ログをのせて下さい。

http://www.yahoo.co.jp

id:yoichi111

▼Apacheエラーログ

[notice] SIGHUP received. Attempting to restart Syntax error on line 10 of /etc/httpd/conf.d/perl.conf: Cannot load /etc/httpd/modules/mod_perl.so into server: /usr/lib/perl5/5.8.0/i38

6-linux-thread-multi/CORE/libperl.so: symbol ferror, version GLIBC_2.0 not defin ed in file libc.so.6 with link time reference

▼/var/messages

vsftpd[14670]: PAM [dlerror: /lib/libcrypt.so.1: symbol ferr or, version GLIBC_2.0 not defined in file libc.so.6 with link time reference]

WEBで調べてみると何かソフトウェアをインストールする時などにこのエラーが

出ることはあるようなのですが、このエラーが原因でApacheが停止したという事例

は発見できませんでした。またここ1年程サーバーに新しいソフトウェア及びパッチ

はインストールしていないので、なぜこの時期にこのエラーがでたのかも分かって

いません。

このエラーがなぜ起きたのか、どうしたら解消できるのかを教えて頂けませんでしょうか。

2007/02/21 16:36:42
id:mukaitaiyou No.2

mukaitaiyou回答回数2ベストアンサー獲得回数02007/02/21 16:39:01

うーん、確かにエラーからして深刻そうですねえ。

http://www.yahoo.co.jp

id:Tietew No.3

Tietew回答回数12ベストアンサー獲得回数42007/02/21 16:52:59

ポイント50pt

http://www.redhat.com/security/

libcが置き換えられたような雰囲気のエラーです。

1年もパッチをインストールしていないと言うことなので、十中八九侵入されています。今もフィッシング詐欺やspamの送信などに悪用されているかもしれません。

今すぐネットワークから切断し、OSをクリーンインストールしてください。そして、セキュリティパッチは必ずインストールしてください。

id:yoichi111

ご回答ありがとうございます。

侵入ですか。。。

とりあえず対策を立ててみます。

ポートをHTTPしかあけていないのですが、Apacheのセキュリティーホールで感染した可能性があるということでしょうか。

2007/02/21 17:18:31
id:kurukuru-neko No.4

kurukuru-neko回答回数1844ベストアンサー獲得回数1552007/02/21 22:25:03

ポイント50pt

不正浸入の可能性が高そうです。

別のサーバーで同じバージョンがあればglibcを

比較して致しないようなら非常に可能性が高い。


>Taroon Update 5

RHEL 3 Update 5,2005/05/20

RHEL 3 Update 8,2006/07/20

http://ja.wikipedia.org/wiki/Red_Hat_Enterprise_Linux

>Apacheを起動し、PostgreSQLも動いています

Redhat提供で怪しいそうなのは

Critical FIX

RHSA-2006:0164-7 mod_auth_pgsql

Important FIX

RHSA-2005:608-7 mod_ssl

オープンしているポート関連のopenssl,httpd等や

kernelもアップデートされています。

PostGreSQLも致命的なレベルの日本語特にSJIS,

日本語に起因するものがあり

 http://www.postgresql.org/support/security.html


vsftpdのエラーもglibcのferror関数がないエラー

が出ているようですがサービスしているのですか?

何のサーバーかわかりませんが、重要データや

社外秘、個人情報があるサーバであれば即時サーバーを遮断

(物理的に電源OFF)。

内臓のOSを起動しない方法でデータをすべてバックアップ

した後回復方法を考えた方がよい。

(以下URLの記事は古いので考え方として)

http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20020308/1/


対策:

別のサーバーか、ディスクを交換するなどして

新規クリーンインストール状態からの復旧を

するのがよいと思います。

問題による影響度を判別する必要がる場合は、

現在の環境をそのまま残しておいた方がよい。

  • 事後処理 --

対策として なんらかの不正浸入の検出する仕組の

検討も必要

例:

http://www.isskk.co.jp/product/server_sensor.html

id:yoichi111

詳細なご回答ありがとうございます。

とりあえず別のサーバーに引き継いでから

原因を調査したいと思います。

ファイアウォールのポート制限だけでは

危険ということですね。。。

ありがとうございました。

2007/02/22 10:18:35
  • id:kurukuru-neko

    侵入経路は、インターネット経由とは限らないので
    要注意。

    社内の不特定クライアント経由が無防備であれば、
    ポートは開放されているのと同じ

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません