[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51558] Re: システムをクラッキングされたようです・・

From: Tatsuya Kazuno <kazuno@xxxxxxxxx>
Subject: [debian-users:51558] Re: システムをクラッキングされたようです・・
Date: Wed, 7 Jan 2009 21:15:59 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-nifty-srcip: [121.92.131.200]
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.5 required=10.0 tests=KI,PLING_QUERY, SUBJECT_ENCODED_TWICE,UNPARSEABLE_RELAY autolearn=disabled version=3.1.7-deb3
References: <20090107210308.d9d17024.shogijunki@xxxxxxxxxxx>
Message-id: <200901071215.AA00217@xxxxxxxxxxxxxxxxxxx>
X-mail-count: 51558
X-mailer: AL-Mail32 Version 1.13

数野です。

「J K <shogijunki@xxxxxxxxxxx>」さんが、「Wed, 7 Jan 2009 21:03:23 +0900」に、
「[debian-users:51557] Re: システムをクラッキングされたようです・・」のメールで書きました。
>Kです。
>
>考えにくい理由に関してですが、ブルートフォースは時間がかかるし
>モロにログに残ってバレバレかなと思いまして。

root が奪取されている時点で、ログの信頼性はないと思います。

>それに、パスワードを変更した後も即効でrootログインしてきたので
>ブルートフォースではなく、セキュリティホール狙われたんだろうなと
>思った次第です。

これですが、/root/.ssh/authorized_keys は確認されましたか？
(rlogin かも知れませんが)
"PermitRootLogin yes" な状態であれば、パスなしのキーを登録されていた
かも知れません。

既に他の方も書かれていますが、
　・sshd_config で "PermitRootLogin no" に設定
　・SSH のポートを 22 番以外に設定
　・(出来れば)"PasswordAuthentication no" に設定して、
　　キー認証のみにする
と言う設定は行なった方が良いかと思います。

Follow-Ups:
- [debian-users:51561] Re: システムをクラッキングされたようです・・
  - From: Kiyotaka ATSUMI

References:
- [debian-users:51557] Re: システムをクラッキングされたようです・・
  - From: J K

Prev by Date: [debian-users:51557] Re: システムをクラッキングされたようです・・
Next by Date: [debian-users:51559] Re: システムをクラッキングされたようです・・
Previous by thread: [debian-users:51557] Re: システムをクラッキングされたようです・・
Next by thread: [debian-users:51561] Re: システムをクラッキングされたようです・・
Index(es):
- Date
- Thread