[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51541] Re: システムをクラッキングされたようです・・

From: J K <shogijunki@xxxxxxxxxxx>
Subject: [debian-users:51541] Re: システムをクラッキングされたようです・・
Date: Wed, 7 Jan 2009 12:35:33 +0900
Domainkey-signature: a=rsa-sha1; q=dns; c=nofws; s=yj20050223; d=yahoo.co.jp; h=Received:X-Apparently-From:Date:From:To:Subject:Message-Id:In-Reply-To:References:X-Mailer:Mime-Version:Content-Type:Content-Transfer-Encoding; b=LhS1VStJX0sfT2vdIv3UmFB5u/59RTPHcu3ur2FSK7zFPftaUqwGcaIet4q/4FZDdXCZOJPxcefkPuqnXvWLmK7W/C45O+Mb3F2B6vwIz/G8bqoTs3Vxgrdfeqv3ftCs ;
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-apparently-from: <shogijunki@xxxxxxxxxxx>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.5 required=10.0 tests=KI,PLING_QUERY, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
References: <20090107111506.3f9fe16f.shogijunki@xxxxxxxxxxx> <20090107115225.06E6.IKARI-ML@xxxxxxxx> <20090107115826.06E9.IKARI-ML@xxxxxxxx>
Message-id: <20090107123519.3e2dd837.shogijunki@xxxxxxxxxxx>
X-mail-count: 51541
X-mailer: Sylpheed 2.6.0 (GTK+ 2.10.14; i686-pc-mingw32)

Kです

レスありがとうございます。

ふむふむ、なるほどです。ただまぁファイアウォールは設定ポリシーは
そんなに難しくないんですよね・・・。
まず基本は全拒否、全拒否した状態から自分が必要なサービスを最小限に
公開する。でもそれを実際にiptablesでやろうとしたら難しそうだなぁ
って思ってます。碇さんの.pdfファイルは図入りで大変分かりやすかったで
す。
バッファオーバフローの「悪意あるコードを実行される」の部分は具体的には
ネットワーク上からプログラムをダウンロードさせて実行させている
んですね。なるほどです。

> 追加です
> 
> このファイヤーウォールの設定はSSHを外部に解放していないことを前提とし
> ています
> 私としては外部にSSHを公開するのは一台だけにして、そこから他のマシンに
> SSH でログインすることを推奨します
> 
> On Wed, 7 Jan 2009 11:56:00 +0900
> ikari-ml@xxxxxxxx 様wrote:
> 
> >碇です
> >
> >Debian側の設定などはたけばやしさんのメールが適切だと思います
> >SSHのパスワードログインはやめた方がいいと思います
> >
> >
> >ファイヤーウォールである程度攻撃コードを送り込むのを防御できます
> >
> >http://ikarisec.web.fc2.com/firewall.pdf
> >ここではproxyのパスワードに触れていませんが、proxyにパスワードを設定
> >すれば、最低限proxyのパスワードが発覚するまで攻撃コードを送り込まれる
> >のを防ぐことができます
> >
> >
> >On Wed, 7 Jan 2009 11:15:20 +0900
> >J K <shogijunki@xxxxxxxxxxx> 様wrote:
> >
> >>Kです
> >>
> >>レスありがとうございます。
> >>そうですね、、、LANケーブル抜かないとダメですよね。
> >>LAN内のPCからサーバに対してpingを打っても無反応、
> >>当然ssh接続は無理な状態になっています。
> >>データは当然救出したいのですが、KNOPPIXやBg-Rescue-Linux辺りで
> >>頑張ってみようと思います。
> >>侵入者が打ち込んだコマンドの履歴等ももしあれば見てみたいですね・・・
> >>ログを確認するなら
> >>/var/log/message
> >>/var/log/secure ←これ微妙かな・・
> >>lastコマンドの出力
> >>lastlogコマンドも一応・・
> >>/var/log/auth.log
> >>一番の目玉は
> >>/root/.bash_history
> >>ファイルですかね・・・。でも何れも改ざん or 消去されて
> >>何も残ってないかもですね・・・。
> >>
> >>Debianを使い続ける上で、今後このような事がないようにする為には
> >>毎日apt-getでアップグレードし続けるぐらいしか対策はないでしょうか？
> >>やろうと思えばウイルス対策ソフトを入れたりrootkit検査ツールで
> >>定期的に検査したりログを定期的にチェックしたりと色々あると
> >>思いますが、そういう事を常にしてないといつ侵入されてもおかしくない
> >>と言う状態はさすがに怖くて安心して使えるOSとは思えませんし・・・。
> >>
> >>> 碇です
> >>> 
> >>> 一度侵入されてしまったらほぼ何しても無駄ですよ
> >>> AIDEなどで全てのファイルをチェックしていない限り、何がどうなってい
> >>> るのかわかりません。
> >>> 
> >>> 1 とにかくサーバーの場所に行ってケーブルをぬく
> >>> 2 データーをバックアップ
> >>> 3 今後の勉強のため、いろいろいじってみる
> >>> 
> >>> ぐらいですかね？
> >>> 
> >>> On Wed, 7 Jan 2009 06:42:57 +0900
> >>> J K <shogijunki@xxxxxxxxxxx> 様wrote:
> >>> 
> >>> >返信ありがとうございます。
> >>> >
> >>> >> まず、LANケーブルを抜いてください。
> >>> >
> >>> >コレなのですが、確かにその通りですが・・・
> >>> >リモートに構築している為、物理的にサーバに触れません。
> >>> >ココから結構距離があってすぐいける場所ではなく、この時間で
> >>> >誰もサーバの周りには人が居ませんし・・・。
> >>> >
> >>> >しかしターミナルから帰ってくる結果が偽の結果とは・・そこまで・・
> >>> >rootkit・・・ですかね・・？ # reboot コマンドを打ってからは
> >>> >今全く繋がらなくなってしまいました。
> >>> >
> >>> >-- 
> >>> >J K <shogijunki@xxxxxxxxxxx>
> >>> >--------------------------------------
> >>> >Power up the Internet with Yahoo! Toolbar.
> >>> >http://pr.mail.yahoo.co.jp/toolbar/
> >>> 
> >>> -- 
> >>> 碇　永志
> >>>  <ikari-ml@xxxxxxxx>
> >>> 
> >>> 
> >>
> >>
> >>-- 
> >>J K <shogijunki@xxxxxxxxxxx>
> >>--------------------------------------
> >>Power up the Internet with Yahoo! Toolbar.
> >>http://pr.mail.yahoo.co.jp/toolbar/
> >
> >-- 
> >碇　永志
> > <ikari-ml@xxxxxxxx>
> >
> 
> -- 
> 碇　永志
>  <ikari-ml@xxxxxxxx>
> 
> 


-- 
J K <shogijunki@xxxxxxxxxxx>
--------------------------------------
Power up the Internet with Yahoo! Toolbar.
http://pr.mail.yahoo.co.jp/toolbar/

Follow-Ups:
- [debian-users:51543] Re: システムをクラッキングされたようです・・
  - From: Shinya TAKEBAYASHI

References:
- [debian-users:51531] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51537] Re: システムをクラッキングされたようです・・
  - From: ikari-ml
- [debian-users:51539] Re: システムをクラッキングされたようです・・
  - From: ikari-ml

Prev by Date: [debian-users:51540] Re: システムをクラッキングされたようです・・
Next by Date: [debian-users:51542] Re: システムをクラッキングされたようです・・
Previous by thread: [debian-users:51539] Re: システムをクラッキングされたようです・・
Next by thread: [debian-users:51543] Re: システムをクラッキングされたようです・・
Index(es):
- Date
- Thread