[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51539] Re: システムをクラッキングされたようです・・

From: ikari-ml@xxxxxxxx
Subject: [debian-users:51539] Re: システムをクラッキングされたようです・・
Date: Wed, 7 Jan 2009 12:01:18 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.1 required=10.0 tests=AWL,KI,NO_REAL_NAME, PLING_QUERY,SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
References: <20090107111506.3f9fe16f.shogijunki@xxxxxxxxxxx> <20090107115225.06E6.IKARI-ML@xxxxxxxx>
Message-id: <20090107115826.06E9.IKARI-ML@xxxxxxxx>
X-mail-count: 51539
X-mailer: Becky! ver. 2.30.04 [ja]

追加です

このファイヤーウォールの設定はSSHを外部に解放していないことを前提として
います
私としては外部にSSHを公開するのは一台だけにして、そこから他のマシンにSSH
でログインすることを推奨します

On Wed, 7 Jan 2009 11:56:00 +0900
ikari-ml@xxxxxxxx 様wrote:

>碇です
>
>Debian側の設定などはたけばやしさんのメールが適切だと思います
>SSHのパスワードログインはやめた方がいいと思います
>
>
>ファイヤーウォールである程度攻撃コードを送り込むのを防御できます
>
>http://ikarisec.web.fc2.com/firewall.pdf
>ここではproxyのパスワードに触れていませんが、proxyにパスワードを設定すれ
>ば、最低限proxyのパスワードが発覚するまで攻撃コードを送り込まれるのを防
>ぐことができます
>
>
>On Wed, 7 Jan 2009 11:15:20 +0900
>J K <shogijunki@xxxxxxxxxxx> 様wrote:
>
>>Kです
>>
>>レスありがとうございます。
>>そうですね、、、LANケーブル抜かないとダメですよね。
>>LAN内のPCからサーバに対してpingを打っても無反応、
>>当然ssh接続は無理な状態になっています。
>>データは当然救出したいのですが、KNOPPIXやBg-Rescue-Linux辺りで
>>頑張ってみようと思います。
>>侵入者が打ち込んだコマンドの履歴等ももしあれば見てみたいですね・・・
>>ログを確認するなら
>>/var/log/message
>>/var/log/secure ←これ微妙かな・・
>>lastコマンドの出力
>>lastlogコマンドも一応・・
>>/var/log/auth.log
>>一番の目玉は
>>/root/.bash_history
>>ファイルですかね・・・。でも何れも改ざん or 消去されて
>>何も残ってないかもですね・・・。
>>
>>Debianを使い続ける上で、今後このような事がないようにする為には
>>毎日apt-getでアップグレードし続けるぐらいしか対策はないでしょうか？
>>やろうと思えばウイルス対策ソフトを入れたりrootkit検査ツールで
>>定期的に検査したりログを定期的にチェックしたりと色々あると
>>思いますが、そういう事を常にしてないといつ侵入されてもおかしくない
>>と言う状態はさすがに怖くて安心して使えるOSとは思えませんし・・・。
>>
>>> 碇です
>>> 
>>> 一度侵入されてしまったらほぼ何しても無駄ですよ
>>> AIDEなどで全てのファイルをチェックしていない限り、何がどうなっているの
>>> かわかりません。
>>> 
>>> 1 とにかくサーバーの場所に行ってケーブルをぬく
>>> 2 データーをバックアップ
>>> 3 今後の勉強のため、いろいろいじってみる
>>> 
>>> ぐらいですかね？
>>> 
>>> On Wed, 7 Jan 2009 06:42:57 +0900
>>> J K <shogijunki@xxxxxxxxxxx> 様wrote:
>>> 
>>> >返信ありがとうございます。
>>> >
>>> >> まず、LANケーブルを抜いてください。
>>> >
>>> >コレなのですが、確かにその通りですが・・・
>>> >リモートに構築している為、物理的にサーバに触れません。
>>> >ココから結構距離があってすぐいける場所ではなく、この時間で
>>> >誰もサーバの周りには人が居ませんし・・・。
>>> >
>>> >しかしターミナルから帰ってくる結果が偽の結果とは・・そこまで・・
>>> >rootkit・・・ですかね・・？ # reboot コマンドを打ってからは
>>> >今全く繋がらなくなってしまいました。
>>> >
>>> >-- 
>>> >J K <shogijunki@xxxxxxxxxxx>
>>> >--------------------------------------
>>> >Power up the Internet with Yahoo! Toolbar.
>>> >http://pr.mail.yahoo.co.jp/toolbar/
>>> 
>>> -- 
>>> 碇　永志
>>>  <ikari-ml@xxxxxxxx>
>>> 
>>> 
>>
>>
>>-- 
>>J K <shogijunki@xxxxxxxxxxx>
>>--------------------------------------
>>Power up the Internet with Yahoo! Toolbar.
>>http://pr.mail.yahoo.co.jp/toolbar/
>
>-- 
>碇　永志
> <ikari-ml@xxxxxxxx>
>

-- 
碇　永志
 <ikari-ml@xxxxxxxx>

Follow-Ups:
- [debian-users:51541] Re: システムをクラッキングされたようです・・
  - From: J K

References:
- [debian-users:51531] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51537] Re: システムをクラッキングされたようです・・
  - From: ikari-ml

Prev by Date: [debian-users:51538] Re: システムをクラッキングされたようです・・
Next by Date: [debian-users:51540] Re: システムをクラッキングされたようです・・
Previous by thread: [debian-users:51537] Re: システムをクラッキングされたようです・・
Next by thread: [debian-users:51541] Re: システムをクラッキングされたようです・・
Index(es):
- Date
- Thread