踏み台

このスレッドはクローズされています。記事の閲覧のみとなります。

踏み台

æ¥æï¼ 2005/06/10 10:25
ååï¼ luckystrike

はじめまして本日「おたくのサーバを経由してSSH2で自分のサーバが攻撃されている。対応しなさい!」と言う旨のお叱りメールをいただきました。他の方に迷惑をかけているのが申し訳なく、早急に対応したいのですが、なにぶん初心者で、セキュリティの本を購入したのですがさっぱりわからずどこから手をつけてよいやら。 SSHは切ってみたのですが、これだけでは不十分なのでしょうか? 皆様お忙しいこととは思いますが、ご助言をいただけたらと思い投稿させていただきました。よろしくお願いいたします。

Page: [1] [2]

■ コンテンツ関連情報

Re: 踏み台 ( No.6 )

æ¥æï¼ 2005/06/11 11:42
ååï¼ Johann
参照： http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

横からすみませんが、ルーターでポート閉じても意味無いような。 Outgoingをブロックするようなルーターなら別ですが。すぐにネットワークから切り離し、ログの解析を行うべきです。 Cat5ケーブルを引っこ抜いて、サーバーにキーボードから入って何をされてしまったのが調べてはどうでしょうか。 #あなたのサーバー経由で他の管理者へ迷惑をかけてしまったという事態を #真摯に受け止めるべきです。

Re: 踏み台 ( No.7 )

æ¥æï¼ 2005/06/11 08:05
ååï¼ 管理者

説明不足ですみません。ポート閉鎖は①②のIncommingの事を差しています。ログインしようとしている第三者を防ぐ為にtelnetとsshポートを閉鎖します。 ③に関しては勿論、Outgoingを防がなければいけません。 luckystrike様理由をお書きしますね。例)sshでログインしようとしている場合(上記で言う②の時) ┌───────────┐ ┌─────┐ │luckystrike様のサーバ │Port22 ←− 任意のポート│第三者のPC│ └───────────┘ └─────┘ 例)プログラムでsshアタックしている場合 ┌───────────┐ ┌─────────────┐ │luckystrike様のサーバ │任意のポート −→ Port22│クレームがあった方のサーバ│ └───────────┘ └─────────────┘ 外出する為、きちんと説明する時間が無くて申し訳ありませんでした。

Re: 踏み台 ( No.8 )

æ¥æï¼ 2005/06/12 08:28
ååï¼ Sou

どうも。Souと申します。久しぶりに見たら、すごいことになってますね。えっとですね。対処方法は、本来ならば、netstat,Arp,ipconfigを打ってから、ネットワークから物理的に隔離をします。ただし、緊急の場合はネットワークから物理的に隔離をします。その後、メモリのダンプ（HELIX等を使う）揮発性なため、なるべく早くダンプをするべきです。で、次にHDDをダンプさせます。これらを行っておくと、わかる人が見れば、有力な情報を得ることが出来ます。 /var/log/ のなかにある、ログファイルは、信用できませんので注意が必要になります。もちろん、ifconfigやnetstat、Arp等のコマンドも信用できないので、USBメモリやCDにいれてから、使用すると良いでしょう。システム全体何されているかわからなければ、バックアップだけとっておき、上級者にみせるもしくは、PCを持っていくことをお勧めします。一通り終わったら、新しくインストールすることをお勧めします。こんな感じでしょうか。参考にならないかもしれませんが・・・。気が動転してると思いますので、上級者に任せたほうが無難だと思います。場合によっては、大切なファイルを消去するプログラムがあるかもしれませんしね。

Re: 踏み台 ( No.9 )

æ¥æï¼ 2005/06/13 09:04
ååï¼ luckystrike

ありがとうございます。とにかく緊急だったので、隔離して別のマシンと入れ替えました。これからやられたサーバをいろいろ調べてみます。お忙しいところ、どうもすいませんでした。

Re: 踏み台 ( No.10 )

æ¥æï¼ 2005/06/13 19:22
ååï¼ luckystrike

Son様のお言葉通り、上級者に任せるのが速いと思い本日、専門家に来てもらいました。私は忙しくて話を聞けなかったのですが、後日詳しく話しを聞こうと思います。皆様、どうもありがとうございました

Page: [1] [2]

■ その他

ページ先頭へ

Re: 踏み台 ( No.6 )
æ¥æï¼ 2005/06/11 11:42 ååï¼ Johann 参照： http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html 横からすみませんが、ルーターでポート閉じても意味無いような。 Outgoingをブロックするようなルーターなら別ですが。すぐにネットワークから切り離し、ログの解析を行うべきです。 Cat5ケーブルを引っこ抜いて、サーバーにキーボードから入って何をされてしまったのが調べてはどうでしょうか。 #あなたのサーバー経由で他の管理者へ迷惑をかけてしまったという事態を #真摯に受け止めるべきです。
Re: 踏み台 ( No.7 )
æ¥æï¼ 2005/06/11 08:05 ååï¼ 管理者説明不足ですみません。ポート閉鎖は①②のIncommingの事を差しています。ログインしようとしている第三者を防ぐ為にtelnetとsshポートを閉鎖します。 ③に関しては勿論、Outgoingを防がなければいけません。 luckystrike様理由をお書きしますね。例)sshでログインしようとしている場合(上記で言う②の時) ┌───────────┐ ┌─────┐ │luckystrike様のサーバ │Port22 ←− 任意のポート│第三者のPC│ └───────────┘ └─────┘ 例)プログラムでsshアタックしている場合 ┌───────────┐ ┌─────────────┐ │luckystrike様のサーバ │任意のポート −→ Port22│クレームがあった方のサーバ│ └───────────┘ └─────────────┘ 外出する為、きちんと説明する時間が無くて申し訳ありませんでした。
Re: 踏み台 ( No.8 )
æ¥æï¼ 2005/06/12 08:28 ååï¼ Sou どうも。Souと申します。久しぶりに見たら、すごいことになってますね。えっとですね。対処方法は、本来ならば、netstat,Arp,ipconfigを打ってから、ネットワークから物理的に隔離をします。ただし、緊急の場合はネットワークから物理的に隔離をします。その後、メモリのダンプ（HELIX等を使う）揮発性なため、なるべく早くダンプをするべきです。で、次にHDDをダンプさせます。これらを行っておくと、わかる人が見れば、有力な情報を得ることが出来ます。 /var/log/ のなかにある、ログファイルは、信用できませんので注意が必要になります。もちろん、ifconfigやnetstat、Arp等のコマンドも信用できないので、USBメモリやCDにいれてから、使用すると良いでしょう。システム全体何されているかわからなければ、バックアップだけとっておき、上級者にみせるもしくは、PCを持っていくことをお勧めします。一通り終わったら、新しくインストールすることをお勧めします。こんな感じでしょうか。参考にならないかもしれませんが・・・。気が動転してると思いますので、上級者に任せたほうが無難だと思います。場合によっては、大切なファイルを消去するプログラムがあるかもしれませんしね。
Re: 踏み台 ( No.9 )
æ¥æï¼ 2005/06/13 09:04 ååï¼ luckystrike `ありがとうございます。とにかく緊急だったので、隔離して別のマシンと入れ替えました。これからやられたサーバをいろいろ調べてみます。お忙しいところ、どうもすいませんでした。`
Re: 踏み台 ( No.10 )
æ¥æï¼ 2005/06/13 19:22 ååï¼ luckystrike `Son様のお言葉通り、上級者に任せるのが速いと思い本日、専門家に来てもらいました。私は忙しくて話を聞けなかったのですが、後日詳しく話しを聞こうと思います。皆様、どうもありがとうございました`