[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51536] Re: システムをクラッキングされたようです・・



たけばやしです.


  毎日 apt-get upgrade するのも結構ですが,セキュリティポリシをちゃんと決めて
設定して運用すれば,そこまで気張る必要ないですよ.
  サーバを構築して管理する以上,この辺りは当然の仕事ですし.
  
  まずは最低限として,
  
    何のためにサーバを構築しているのか

を考えて,最小限の規模でシステムを構築した上で
  
    誰に,どのサービスへのアクセスを許すのか

を考えてみて,iptables あたりを設定しておきましょう.
  ユーザ数が少ないのであれば,ホワイトリストにした方が良いです.
  
  
  あとファイルの改ざんを検知するために,tripwire あたりを入れておくと
良いかもしれません.


J K <shogijunki@xxxxxxxxxxx> wrote in message <20090107111506.3f9fe16f.shogijunki@xxxxxxxxxxx
>
*** Subject: [debian-users:51531] Re: システムをクラッキングされたようです・・
***    Date: 2009/01/07 11:15:20
> Kです
> 
> レスありがとうございます。
> そうですね、、、LANケーブル抜かないとダメですよね。
> LAN内のPCからサーバに対してpingを打っても無反応、
> 当然ssh接続は無理な状態になっています。
> データは当然救出したいのですが、KNOPPIXやBg-Rescue-Linux辺りで
> 頑張ってみようと思います。
> 侵入者が打ち込んだコマンドの履歴等ももしあれば見てみたいですね・・・
> ログを確認するなら
> /var/log/message
> /var/log/secure ←これ微妙かな・・
> lastコマンドの出力
> lastlogコマンドも一応・・
> /var/log/auth.log
> 一番の目玉は
> /root/.bash_history
> ファイルですかね・・・。でも何れも改ざん or 消去されて
> 何も残ってないかもですね・・・。
> 
> Debianを使い続ける上で、今後このような事がないようにする為には
> 毎日apt-getでアップグレードし続けるぐらいしか対策はないでしょうか?
> やろうと思えばウイルス対策ソフトを入れたりrootkit検査ツールで
> 定期的に検査したりログを定期的にチェックしたりと色々あると
> 思いますが、そういう事を常にしてないといつ侵入されてもおかしくない
> と言う状態はさすがに怖くて安心して使えるOSとは思えませんし・・・。
> 

-----------------------------------------------------------
Shinya TAKEBAYASHI

E-mail: takebayashi.shinya@xxxxxxxxxxxxx
GPG ID: 395EFCE8
GPG FP: 58B2 B5D0 A692 1BD8 328B  E31E E027 AC35 395E FCE8
-----------------------------------------------------------