先日WEBサーバーで以下の障害が発生しました。ログをのせて下さい。
▼Apacheエラーログ
[notice] SIGHUP received. Attempting to restart Syntax error on line 10 of /etc/httpd/conf.d/perl.conf: Cannot load /etc/httpd/modules/mod_perl.so into server: /usr/lib/perl5/5.8.0/i38
6-linux-thread-multi/CORE/libperl.so: symbol ferror, version GLIBC_2.0 not defin ed in file libc.so.6 with link time reference
▼/var/messages
vsftpd[14670]: PAM [dlerror: /lib/libcrypt.so.1: symbol ferr or, version GLIBC_2.0 not defined in file libc.so.6 with link time reference]
WEBで調べてみると何かソフトウェアをインストールする時などにこのエラーが
出ることはあるようなのですが、このエラーが原因でApacheが停止したという事例
は発見できませんでした。またここ1年程サーバーに新しいソフトウェア及びパッチ
はインストールしていないので、なぜこの時期にこのエラーがでたのかも分かって
いません。
このエラーがなぜ起きたのか、どうしたら解消できるのかを教えて頂けませんでしょうか。
うーん、確かにエラーからして深刻そうですねえ。
http://www.redhat.com/security/
libcが置き換えられたような雰囲気のエラーです。
1年もパッチをインストールしていないと言うことなので、十中八九侵入されています。今もフィッシング詐欺やspamの送信などに悪用されているかもしれません。
今すぐネットワークから切断し、OSをクリーンインストールしてください。そして、セキュリティパッチは必ずインストールしてください。
ご回答ありがとうございます。
侵入ですか。。。
とりあえず対策を立ててみます。
ポートをHTTPしかあけていないのですが、Apacheのセキュリティーホールで感染した可能性があるということでしょうか。
不正浸入の可能性が高そうです。
別のサーバーで同じバージョンがあればglibcを
比較して致しないようなら非常に可能性が高い。
>Taroon Update 5
RHEL 3 Update 5,2005/05/20
RHEL 3 Update 8,2006/07/20
http://ja.wikipedia.org/wiki/Red_Hat_Enterprise_Linux
>Apacheを起動し、PostgreSQLも動いています
Redhat提供で怪しいそうなのは
Critical FIX
RHSA-2006:0164-7 mod_auth_pgsql
Important FIX
RHSA-2005:608-7 mod_ssl
オープンしているポート関連のopenssl,httpd等や
kernelもアップデートされています。
PostGreSQLも致命的なレベルの日本語特にSJIS,
日本語に起因するものがあり
http://www.postgresql.org/support/security.html
vsftpdのエラーもglibcのferror関数がないエラー
が出ているようですがサービスしているのですか?
何のサーバーかわかりませんが、重要データや
社外秘、個人情報があるサーバであれば即時サーバーを遮断
(物理的に電源OFF)。
内臓のOSを起動しない方法でデータをすべてバックアップ
した後回復方法を考えた方がよい。
(以下URLの記事は古いので考え方として)
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20020308/1/
対策:
別のサーバーか、ディスクを交換するなどして
新規クリーンインストール状態からの復旧を
するのがよいと思います。
問題による影響度を判別する必要がる場合は、
現在の環境をそのまま残しておいた方がよい。
対策として なんらかの不正浸入の検出する仕組の
検討も必要
例:
http://www.isskk.co.jp/product/server_sensor.html
詳細なご回答ありがとうございます。
とりあえず別のサーバーに引き継いでから
原因を調査したいと思います。
ファイアウォールのポート制限だけでは
危険ということですね。。。
ありがとうございました。
