[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51524] システムをクラッキングされたようです・・

From: J K <shogijunki@xxxxxxxxxxx>
Subject: [debian-users:51524] システムをクラッキングされたようです・・
Date: Wed, 7 Jan 2009 06:17:07 +0900
Domainkey-signature: a=rsa-sha1; q=dns; c=nofws; s=yj20050223; d=yahoo.co.jp; h=Received:X-Apparently-From:Date:From:To:Subject:Message-Id:X-Mailer:Mime-Version:Content-Type:Content-Transfer-Encoding; b=Acl3GOm+GY3xh0cR6iSMUtHalVpAy4qyk9R+GUigoK6zo6joPOZbGq0ztUtEVSR6VoOmkHWjTxeRMws6/JgNf+6Dfr6Vrxw9gaEeMsxGqf9hnOEhLtRY3dFi9XocfyQQ ;
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-apparently-from: <shogijunki@xxxxxxxxxxx>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.5 required=10.0 tests=KI,PLING_QUERY, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
Message-id: <20090107061653.7cdffea8.shogijunki@xxxxxxxxxxx>
X-mail-count: 51524
X-mailer: Sylpheed 2.6.0 (GTK+ 2.10.14; i686-pc-mingw32)

いつもお世話になっています、Kと申します。

先ほどの事なのですが、リモートに構築してあるDebianサーバがクラッキング
された様なので、相談したいのですがよろしいでしょうか・・？

状況を説明します。
特に何か思うところがあったわけでもなく、なにげなくリモートのサーバに
WindowsマシンからPuttyを使ってsshログインしました。

そして
$ w
と打つと、私以外の誰かがrootでログインしているではありませんか！！

こんな経験をしたのは初めてで、パニックになりました。
wコマンドで表示されたrootの人の接続元IPアドレスは
IPアドレス	172.173.93.39
ホスト名	acad5d27.ipt.aol.com
IPアドレス割当国	アメリカ合衆国 ( us )

でした。アメリカのハッカー(クラッカーか・・・）が犯人でしょうか？
それとも、ssh接続とはいえ日本人がアメリカのプロキシを経由して
Debianサーバに侵入した可能性もなきにしもあらず・・・。

どうしたらいいのか分からなくて、とにかくこの侵入者を排除しなければ
ならないと考え、まず自分がrootになろうとしたのですが
パスワードを変更されてました。rootに通常の方法ではなれませんでした。
しかし、/etc/sudores ファイルに普段自分が作業する時に使う
一般ユーザのIDで
id  ALL=(ALL) ALL
と書いていた事を思い出し、
$ sudo passwd root
としてrootのパスワードを無理やり変更しました。成功したので
rootになれました。そして
# ps aux | less してプロセスを見てみると、
./scan 153 58 23 
みたいな怪しいプロセスと、
brute と書かれてあるプロセスが大量に動いてました。
どこかにブルートフォースアタックを仕掛けていたようです。
# top
で見てみると、サーバのCPU使用率は ./scan プロセスが90%も占有してました。

# kill -9 pid
で./scanプロセスを殺し、その後
# killall brute
でbruteと言う名の大量のプロセスを殺しました。

まだ侵入されたままの状態ですが、侵入されてから30分程度の経過だった
ように見えました（wコマンドの出力の結果から予想)。

私はまだまだLinuxは素人なので、どうしたらいいかわからず、とにかく
侵入者のシェルを殺してしまおうと
# ps aux | less
して /bash と打ち込んでbashプロセスを探し、自分のbashじゃないほうの
bashのPIDを調べ、
# kill -9 pid
して殺しました。これで侵入者は排除できたかと思いきや、再度
rootでログインしてきました。いくら殺してもrootでログインできるみたいで
す。

今更ですが、もうどうやったらいいのか分からなかったので
# apt-get update; apt-get upgrade
とかやってセキュリティ固めようとしたのですが、lockされて
apt-getコマンドが使えませんでした。侵入者の仕業でしょうか・・・。

# passwd root してパスワードを2回変更したのですが、何度変更しても
rootでログインしてきます。
iptablesでこのIPアドレスを弾くしかないと思ったのですが、iptablesの
設定方法も良く知らないので無理でした。最後の手段として
# reboot
したのですが、そのまま電源が落ちた後、なぜか再接続できなくなってました。
クラッカーにOSのブートファイル壊されてしまったのでしょうか・・・。


あ〜・・・文章が全然まとまってませんが、ついさっきの事なので
今も興奮しています。
私はどう対処すべきだったのでしょうか？専門学校の学生なので、
まだまだ未熟者です。

皆さんだったらもしこんな現場に出くわしたらどう対処しますか？
# shutdown -h now　しろ！
と言われれば確かにそうなのですが、それ以外にもっと有用なコマンド
等あれば・・教えて頂きたいです。

さっき自分で調べてみたのですが、
http://sid.softek.co.jp/sum.html?htmlid=8863

Debian公式サイト
http://www.ua.debian.org/security/2008/dsa-1687

こんな感じにセキュリティホールの情報が載っています。しかも最近。。。
このセキュリティホールを利用されて不正アクセスされてしまったのでしょう
か？

また、今後防ぐには cronに毎日1回
apt-get update && apt-get upgrade
を実行するようにスケジューリングしておいた方が良いのでしょうか？
それだけで完全に防げるとは思えませんが、多少はマシですか・・・ね・・。

ひどい文章で申し訳ありませんが、本日このマシンの内部を調べる事に
なるかもしれませんので、少しでも知識を多くしておきたいので、
どうかご教示よろしくお願い致します。

-- 
J K <shogijunki@xxxxxxxxxxx>
--------------------------------------
Power up the Internet with Yahoo! Toolbar.
http://pr.mail.yahoo.co.jp/toolbar/

Follow-Ups:
- [debian-users:51525] Re: システムをクラッキングされたようです・・
  - From: algo-ml
- [debian-users:51528] Re: システムをクラッキングされたようです・・
  - From: mlus

Prev by Date: [debian-users:51523] [Translate] [SECURITY] [DSA 1694-2] New xterm packages fix regression
Next by Date: [debian-users:51525] Re: システムをクラッキングされたようです・・
Previous by thread: [debian-users:51523] [Translate] [SECURITY] [DSA 1694-2] New xterm packages fix regression
Next by thread: [debian-users:51525] Re: システムをクラッキングされたようです・・
Index(es):
- Date
- Thread