SSHでの侵入は無かったように思われます。なのでApacheなどの脆弱性によるものかなと思っています。パッチは06年7月のもので(契約時の最新)、それからはyum updateのみをしていました。
何か情報が足りない場合はお伝えください。コメントにてご連絡させて頂きます。
私はどうすれば良いのでしょうか。
(私は入門ページのコマンドをC&Pしながら、やっと操作ができたくらいです。)
OS : Fedora Core 5
RPM : http://www4.uploader.jp/user/id/images/id_uljp00002.txt
SSHの設定 :
特定の日本プロバイダ以外の接続を弾く / SSH2鍵を利用 / 20字以上(半角英数)のパスフレーズにてログイン / 通常passwordによるログインの禁止 / webmin1.30をポートを変えて待機(通常password)
被害状況 :
1. index.htmlの改ざん
「Hadgy ownz ya mizerable security<BR>admin, patch ya lame FAQ or die...」
(時間は8日21時ごろ)
改竄前のindex.htmlはindex.html.OLDとして残っていた。(なぜ?)
2.chkrootkit -q によるログ出力結果
http://www4.uploader.jp/user/id/images/id_uljp00001.txt
3. 不定期に送られてくる(1時間に1度程度)サーバからのメール
件名 : Returned mail: see transcript for details
No.1
966
247
60pt
私はどうすれば良いのでしょうか。
ちょっと厳しい言い方をすれば、まず、そのサーバを止めてください。スキルがある方であれば、そのまま様子を見ることも可能だと思いますが、ご自身で、
私は入門ページのコマンドをC&Pしながら、やっと操作ができたくらいです。
とおっしゃっているのであれば、このサーバがすでに踏み台にされていて、「被害者」ではなく「加害者」になってしまう可能性があります。
SSHの設定 :
特定の日本プロバイダ以外の接続を弾く / SSH2鍵を利用 / 20字以上(半角英数)のパスフレーズにてログイン / 通常passwordによるログインの禁止 / webmin1.30をポートを変えて待機(通常password)
もし、SSH の設定がこの通りであれば、SSH で正面切ってログインされた可能性は低いと思いますが、Webmin のポート番号の変更は気休めにしかなりません。確かに単純なポートスキャンで即座に Webmin であることは判明しませんが、ポートスキャンの結果で開いていることが分かったポートに対して、片っ端から HTTP で話しかけてみれば、Webmin であることは、比較的簡単に判明すると思います。
SSH に対して「日本のプロバイダ以外の接続を弾く」としていましたが、ちなみに Webmin はどうでしたか?
もっとも、日本のプロバイダに加入している人が信用できるとも限りませんし、加入している人自身の意志ではなく「ボット」と呼ばれる、いわば「操り人形」のような状態になった PC からなのかもしれません。
いずれにせよ、chkrootkit の結果が示すとおり、すでに rootkit がインストールされてしまった状態であれば、そのサーバ上で何を調べても、正しい情報が得られるとは限りません。たとえば、今サーバ上にどんなプログラムが動いているか、ps コマンドで調べても、表示される内容が正しいと限りません。おそらく既にログも改ざんされていると思いますし、Q and A で正しい結論が得られる状況では無いと思われます。
最後に一つ気になったのですが、
パッチは06年7月のもので(契約時の最新)、
このサーバはどういう目的のものなのでしょうか? もし、商用で用意したものであれば、Fedora Core よりも CentOS の方をおすすめします。Fedora Core はメジャーリリースの間隔も短く、古くなったバージョンのメンテナンス期間も短いので、どんどん新しいものを使いたい、といった目的には良いですが、安定運用が重要なサーバ用等には不向きな側面があります。CentOS は Redhat が企業向けに売っている Redhat Enteprise Linux のクローン OS なので、長期間(メジャーバージョンのリリース後7年間)はメンテナンスされます(段階的に、重要度の低いバグは修正されなくなりますが)。再度、サーバを構築する際の選択肢に入れてください。
1
2
1
1
1
1
31
29
コメント(0件)