[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51537] Re: システムをクラッキングされたようです・・



碇です

Debian側の設定などはたけばやしさんのメールが適切だと思います
SSHのパスワードログインはやめた方がいいと思います


ファイヤーウォールである程度攻撃コードを送り込むのを防御できます

http://ikarisec.web.fc2.com/firewall.pdf
ここではproxyのパスワードに触れていませんが、proxyにパスワードを設定すれ
ば、最低限proxyのパスワードが発覚するまで攻撃コードを送り込まれるのを防
ぐことができます


On Wed, 7 Jan 2009 11:15:20 +0900
J K <shogijunki@xxxxxxxxxxx> 様wrote:

>Kです
>
>レスありがとうございます。
>そうですね、、、LANケーブル抜かないとダメですよね。
>LAN内のPCからサーバに対してpingを打っても無反応、
>当然ssh接続は無理な状態になっています。
>データは当然救出したいのですが、KNOPPIXやBg-Rescue-Linux辺りで
>頑張ってみようと思います。
>侵入者が打ち込んだコマンドの履歴等ももしあれば見てみたいですね・・・
>ログを確認するなら
>/var/log/message
>/var/log/secure ←これ微妙かな・・
>lastコマンドの出力
>lastlogコマンドも一応・・
>/var/log/auth.log
>一番の目玉は
>/root/.bash_history
>ファイルですかね・・・。でも何れも改ざん or 消去されて
>何も残ってないかもですね・・・。
>
>Debianを使い続ける上で、今後このような事がないようにする為には
>毎日apt-getでアップグレードし続けるぐらいしか対策はないでしょうか?
>やろうと思えばウイルス対策ソフトを入れたりrootkit検査ツールで
>定期的に検査したりログを定期的にチェックしたりと色々あると
>思いますが、そういう事を常にしてないといつ侵入されてもおかしくない
>と言う状態はさすがに怖くて安心して使えるOSとは思えませんし・・・。
>
>> 碇です
>> 
>> 一度侵入されてしまったらほぼ何しても無駄ですよ
>> AIDEなどで全てのファイルをチェックしていない限り、何がどうなっているの
>> かわかりません。
>> 
>> 1 とにかくサーバーの場所に行ってケーブルをぬく
>> 2 データーをバックアップ
>> 3 今後の勉強のため、いろいろいじってみる
>> 
>> ぐらいですかね?
>> 
>> On Wed, 7 Jan 2009 06:42:57 +0900
>> J K <shogijunki@xxxxxxxxxxx> 様wrote:
>> 
>> >返信ありがとうございます。
>> >
>> >> まず、LANケーブルを抜いてください。
>> >
>> >コレなのですが、確かにその通りですが・・・
>> >リモートに構築している為、物理的にサーバに触れません。
>> >ココから結構距離があってすぐいける場所ではなく、この時間で
>> >誰もサーバの周りには人が居ませんし・・・。
>> >
>> >しかしターミナルから帰ってくる結果が偽の結果とは・・そこまで・・
>> >rootkit・・・ですかね・・? # reboot コマンドを打ってからは
>> >今全く繋がらなくなってしまいました。
>> >
>> >-- 
>> >J K <shogijunki@xxxxxxxxxxx>
>> >--------------------------------------
>> >Power up the Internet with Yahoo! Toolbar.
>> >http://pr.mail.yahoo.co.jp/toolbar/
>> 
>> -- 
>> 碇 永志
>>  <ikari-ml@xxxxxxxx>
>> 
>> 
>
>
>-- 
>J K <shogijunki@xxxxxxxxxxx>
>--------------------------------------
>Power up the Internet with Yahoo! Toolbar.
>http://pr.mail.yahoo.co.jp/toolbar/

-- 
碇 永志
 <ikari-ml@xxxxxxxx>