[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:51531] Re: システムをクラッキングされたようです・・
Kです
レスありがとうございます。
そうですね、、、LANケーブル抜かないとダメですよね。
LAN内のPCからサーバに対してpingを打っても無反応、
当然ssh接続は無理な状態になっています。
データは当然救出したいのですが、KNOPPIXやBg-Rescue-Linux辺りで
頑張ってみようと思います。
侵入者が打ち込んだコマンドの履歴等ももしあれば見てみたいですね・・・
ログを確認するなら
/var/log/message
/var/log/secure ←これ微妙かな・・
lastコマンドの出力
lastlogコマンドも一応・・
/var/log/auth.log
一番の目玉は
/root/.bash_history
ファイルですかね・・・。でも何れも改ざん or 消去されて
何も残ってないかもですね・・・。
Debianを使い続ける上で、今後このような事がないようにする為には
毎日apt-getでアップグレードし続けるぐらいしか対策はないでしょうか?
やろうと思えばウイルス対策ソフトを入れたりrootkit検査ツールで
定期的に検査したりログを定期的にチェックしたりと色々あると
思いますが、そういう事を常にしてないといつ侵入されてもおかしくない
と言う状態はさすがに怖くて安心して使えるOSとは思えませんし・・・。
> 碇です
>
> 一度侵入されてしまったらほぼ何しても無駄ですよ
> AIDEなどで全てのファイルをチェックしていない限り、何がどうなっているの
> かわかりません。
>
> 1 とにかくサーバーの場所に行ってケーブルをぬく
> 2 データーをバックアップ
> 3 今後の勉強のため、いろいろいじってみる
>
> ぐらいですかね?
>
> On Wed, 7 Jan 2009 06:42:57 +0900
> J K <shogijunki@xxxxxxxxxxx> 様wrote:
>
> >返信ありがとうございます。
> >
> >> まず、LANケーブルを抜いてください。
> >
> >コレなのですが、確かにその通りですが・・・
> >リモートに構築している為、物理的にサーバに触れません。
> >ココから結構距離があってすぐいける場所ではなく、この時間で
> >誰もサーバの周りには人が居ませんし・・・。
> >
> >しかしターミナルから帰ってくる結果が偽の結果とは・・そこまで・・
> >rootkit・・・ですかね・・? # reboot コマンドを打ってからは
> >今全く繋がらなくなってしまいました。
> >
> >--
> >J K <shogijunki@xxxxxxxxxxx>
> >--------------------------------------
> >Power up the Internet with Yahoo! Toolbar.
> >http://pr.mail.yahoo.co.jp/toolbar/
>
> --
> 碇 永志
> <ikari-ml@xxxxxxxx>
>
>
--
J K <shogijunki@xxxxxxxxxxx>
--------------------------------------
Power up the Internet with Yahoo! Toolbar.
http://pr.mail.yahoo.co.jp/toolbar/