[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51558] Re: システムをクラッキングされたようです・・



数野です。

「J K <shogijunki@xxxxxxxxxxx>」さんが、「Wed, 7 Jan 2009 21:03:23 +0900」に、
「[debian-users:51557] Re: システムをクラッキングされたようです・・」のメールで書きました。
>Kです。
>
>考えにくい理由に関してですが、ブルートフォースは時間がかかるし
>モロにログに残ってバレバレかなと思いまして。

root が奪取されている時点で、ログの信頼性はないと思います。

>それに、パスワードを変更した後も即効でrootログインしてきたので
>ブルートフォースではなく、セキュリティホール狙われたんだろうなと
>思った次第です。

これですが、/root/.ssh/authorized_keys は確認されましたか?
(rlogin かも知れませんが)
"PermitRootLogin yes" な状態であれば、パスなしのキーを登録されていた
かも知れません。

既に他の方も書かれていますが、
 ・sshd_config で "PermitRootLogin no" に設定
 ・SSH のポートを 22 番以外に設定
 ・(出来れば)"PasswordAuthentication no" に設定して、
  キー認証のみにする
と言う設定は行なった方が良いかと思います。