[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:51524] システムをクラッキングされたようです・・
いつもお世話になっています、Kと申します。
先ほどの事なのですが、リモートに構築してあるDebianサーバがクラッキング
された様なので、相談したいのですがよろしいでしょうか・・?
状況を説明します。
特に何か思うところがあったわけでもなく、なにげなくリモートのサーバに
WindowsマシンからPuttyを使ってsshログインしました。
そして
$ w
と打つと、私以外の誰かがrootでログインしているではありませんか!!
こんな経験をしたのは初めてで、パニックになりました。
wコマンドで表示されたrootの人の接続元IPアドレスは
IPアドレス 172.173.93.39
ホスト名 acad5d27.ipt.aol.com
IPアドレス割当国 アメリカ合衆国 ( us )
でした。アメリカのハッカー(クラッカーか・・・)が犯人でしょうか?
それとも、ssh接続とはいえ日本人がアメリカのプロキシを経由して
Debianサーバに侵入した可能性もなきにしもあらず・・・。
どうしたらいいのか分からなくて、とにかくこの侵入者を排除しなければ
ならないと考え、まず自分がrootになろうとしたのですが
パスワードを変更されてました。rootに通常の方法ではなれませんでした。
しかし、/etc/sudores ファイルに普段自分が作業する時に使う
一般ユーザのIDで
id ALL=(ALL) ALL
と書いていた事を思い出し、
$ sudo passwd root
としてrootのパスワードを無理やり変更しました。成功したので
rootになれました。そして
# ps aux | less してプロセスを見てみると、
./scan 153 58 23
みたいな怪しいプロセスと、
brute と書かれてあるプロセスが大量に動いてました。
どこかにブルートフォースアタックを仕掛けていたようです。
# top
で見てみると、サーバのCPU使用率は ./scan プロセスが90%も占有してました。
# kill -9 pid
で./scanプロセスを殺し、その後
# killall brute
でbruteと言う名の大量のプロセスを殺しました。
まだ侵入されたままの状態ですが、侵入されてから30分程度の経過だった
ように見えました(wコマンドの出力の結果から予想)。
私はまだまだLinuxは素人なので、どうしたらいいかわからず、とにかく
侵入者のシェルを殺してしまおうと
# ps aux | less
して /bash と打ち込んでbashプロセスを探し、自分のbashじゃないほうの
bashのPIDを調べ、
# kill -9 pid
して殺しました。これで侵入者は排除できたかと思いきや、再度
rootでログインしてきました。いくら殺してもrootでログインできるみたいで
す。
今更ですが、もうどうやったらいいのか分からなかったので
# apt-get update; apt-get upgrade
とかやってセキュリティ固めようとしたのですが、lockされて
apt-getコマンドが使えませんでした。侵入者の仕業でしょうか・・・。
# passwd root してパスワードを2回変更したのですが、何度変更しても
rootでログインしてきます。
iptablesでこのIPアドレスを弾くしかないと思ったのですが、iptablesの
設定方法も良く知らないので無理でした。最後の手段として
# reboot
したのですが、そのまま電源が落ちた後、なぜか再接続できなくなってました。
クラッカーにOSのブートファイル壊されてしまったのでしょうか・・・。
あ〜・・・文章が全然まとまってませんが、ついさっきの事なので
今も興奮しています。
私はどう対処すべきだったのでしょうか?専門学校の学生なので、
まだまだ未熟者です。
皆さんだったらもしこんな現場に出くわしたらどう対処しますか?
# shutdown -h now しろ!
と言われれば確かにそうなのですが、それ以外にもっと有用なコマンド
等あれば・・教えて頂きたいです。
さっき自分で調べてみたのですが、
http://sid.softek.co.jp/sum.html?htmlid=8863
Debian公式サイト
http://www.ua.debian.org/security/2008/dsa-1687
こんな感じにセキュリティホールの情報が載っています。しかも最近。。。
このセキュリティホールを利用されて不正アクセスされてしまったのでしょう
か?
また、今後防ぐには cronに毎日1回
apt-get update && apt-get upgrade
を実行するようにスケジューリングしておいた方が良いのでしょうか?
それだけで完全に防げるとは思えませんが、多少はマシですか・・・ね・・。
ひどい文章で申し訳ありませんが、本日このマシンの内部を調べる事に
なるかもしれませんので、少しでも知識を多くしておきたいので、
どうかご教示よろしくお願い致します。
--
J K <shogijunki@xxxxxxxxxxx>
--------------------------------------
Power up the Internet with Yahoo! Toolbar.
http://pr.mail.yahoo.co.jp/toolbar/