これってハッキングされたってことでしょうか？

これってハッキングされたってことでしょうか？

æ¥æï¼ 2011/02/20 02:05
ååï¼ koji

以前ネット上の色々な情報を参考に自宅サーバ（Fedora 10）を構築し、しばらく電源を切っており、久々に立ち上げてみたところ、知らぬ間に/var/www/html/直下にindex.htmlが存在しており、内容を確認したところ、「Hacked By Gh0st Of MoroCCo Geuss what ! Yeah,your are right You just have been hacked Try 2 fix your Security admin,cus it suckss add me : xov_@hotmail.com Fuck you admin 」と言ったメッセージが表示されました。これってapacheの設定が不完全でハッキングされたってことなのでしょうか？ファイルの作成日を見ると、2009/4/16となっています。このサーバを構築したのが2010年5月頃（/home直下のユーザディレクトリの作成日が2010/5/2となっている）だったかと思うのですが、このファイルについて、詳細（いつ頃作成されたものなのか？どの設定が原因なのか？）を確認する為のアドバイスを頂けないでしょうか？ちなみにこの自宅サーバについては、現在はネットにも公開しておらず、ポートも閉じている状態です。また、こちらのサイトに記載されているrootkitやtripwire等のセキュリティ対策は実施済みです。よろしくお願いします。

Page: [1]

■ コンテンツ関連情報

Re: これってハッキングされたってことでしょうか？ ( No.1 )

æ¥æï¼ 2011/02/20 12:03
ååï¼ セブン

＞これってapacheの設定が不完全でハッキングされたってことなのでしょうか？自分で作ったページでないなら、明らかにやられてしまったんでしょうね・・・ご愁傷さまです。＞ファイルの作成日を見ると、2009/4/16となっています。＞このサーバを構築したのが2010年5月頃（/home直下のユーザディレクトリの作成日が2010/5/2となっている）＞だったかと思うのですが、このファイルについて、詳細（いつ頃作成されたものなのか？どの設定が原因なのか？）を確認する為のアドバイスを頂けないでしょうか？ハッキングされてしまったら、タイムスタンプなんて簡単に変えられそうだからいつ頃かはわからないでしょね。まず、サーバは再初期化した方がいいです。 apacheに限らず、各サービスは脆弱性修正パッチなどが適時出ているので、常に最新にすることです。あと、管理者ならばいつも確認や管理をしないと・・・・ほったらかしはいけませんよ！

Re: これってハッキングされたってことでしょうか？ ( No.2 )

æ¥æï¼ 2011/02/24 23:12
ååï¼ ペングイン
参照： http://blog.trippyboy.com

やられています。 phpmyadminで古いバージョンつかってませんか？ setup.phpのパーミッションが実行可能になっていませんか？ /tmp /var/tmp 配下に見知らぬファイルはありませんか？ Webエラーログのなかをgrepして、cat とか wget,curl,perl などを実行した記録はありませんか？とにかくやられています。 1. 単純にコンテンツを変更されているだけ 2. backdoorを仕掛けているの２パターンです。みたところ、apacheユーザがアクセス出来るディレクトリ配下のファイルの改竄または置き換えを行ったものと思われます。

Re: これってハッキングされたってことでしょうか？ ( No.3 )

æ¥æï¼ 2011/03/05 18:54
ååï¼ koji

>セブンさん >ペングインさんご返信頂きどうもありがとうございました。やっぱりやられているようですね。お恥ずかしい限りです。 >phpmyadminで古いバージョンつかってませんか？ >setup.phpのパーミッションが実行可能になっていませんか？ > >/tmp >/var/tmp 配下に見知らぬファイルはありませんか？ > >Webエラーログのなかをgrepして、cat とか wget,curl,perl などを実行した記録はありませんか？ phpmyadminはそもそも利用しておらず、/tmpや/var/tmp配下に不審なファイルも見つかりませんでした。 Webエラーログについてですが、/etc/httd/logs/内のログを確認してみましたが、これといって怪しい記録は見つかりませんでした。（きちんと確認出来ていない可能性もありますが・・・）お恥ずかしい質問なのですが、これまで各サービスの更新＝「yum update」を実施することだと思っていたのですが、それ以外にもサービスを更新する為の作業が必要なのでしょうか？ Fedora 10はサポートが終了しているからなのか、ある時期から「yum update」を実施しても何も更新されなくなっているようですので、作業が必要ということなのでしょうか？セブンさんのご助言通り、サーバはそのうち初期化をしようと思います。どうもありがとうございました。

Re: これってハッキングされたってことでしょうか？ ( No.4 )

æ¥æï¼ 2011/03/06 12:04
ååï¼ strangerr
参照： http://ja.528p.com/

通常のupdateが可能なのはfc13以降です fedoraはredhatの開発版であって１つのバージョンのサポート期間が短いです http://fedoraproject.org/ http://fedoraproject.org/wiki/Ja_JP などのサイトで最新の情報を得ましょう

Page: [1]

é¡å
名前	("初心者"を含む名前は使用できません)
E-Mail
URL
パスワード	記事メンテ時に使用）
投稿キー	（投稿時を入力してください）
コメント
画像添付	（対応画像：JPEG/GIF/PNG [Max 500KB]）
	クッキー保存

■ その他

ページ先頭へ

Re: これってハッキングされたってことでしょうか？ ( No.1 )
æ¥æï¼ 2011/02/20 12:03 ååï¼ セブン＞これってapacheの設定が不完全でハッキングされたってことなのでしょうか？自分で作ったページでないなら、明らかにやられてしまったんでしょうね・・・ご愁傷さまです。＞ファイルの作成日を見ると、2009/4/16となっています。＞このサーバを構築したのが2010年5月頃（/home直下のユーザディレクトリの作成日が2010/5/2となっている）＞だったかと思うのですが、このファイルについて、詳細（いつ頃作成されたものなのか？どの設定が原因なのか？）を確認する為のアドバイスを頂けないでしょうか？ハッキングされてしまったら、タイムスタンプなんて簡単に変えられそうだからいつ頃かはわからないでしょね。まず、サーバは再初期化した方がいいです。 apacheに限らず、各サービスは脆弱性修正パッチなどが適時出ているので、常に最新にすることです。あと、管理者ならばいつも確認や管理をしないと・・・・ほったらかしはいけませんよ！
Re: これってハッキングされたってことでしょうか？ ( No.2 )
æ¥æï¼ 2011/02/24 23:12 ååï¼ ペングイン参照： http://blog.trippyboy.com やられています。 phpmyadminで古いバージョンつかってませんか？ setup.phpのパーミッションが実行可能になっていませんか？ /tmp /var/tmp 配下に見知らぬファイルはありませんか？ Webエラーログのなかをgrepして、cat とか wget,curl,perl などを実行した記録はありませんか？とにかくやられています。 1. 単純にコンテンツを変更されているだけ 2. backdoorを仕掛けているの２パターンです。みたところ、apacheユーザがアクセス出来るディレクトリ配下のファイルの改竄または置き換えを行ったものと思われます。
Re: これってハッキングされたってことでしょうか？ ( No.3 )
æ¥æï¼ 2011/03/05 18:54 ååï¼ koji >セブンさん >ペングインさんご返信頂きどうもありがとうございました。やっぱりやられているようですね。お恥ずかしい限りです。 >phpmyadminで古いバージョンつかってませんか？ >setup.phpのパーミッションが実行可能になっていませんか？ > >/tmp >/var/tmp 配下に見知らぬファイルはありませんか？ > >Webエラーログのなかをgrepして、cat とか wget,curl,perl などを実行した記録はありませんか？ phpmyadminはそもそも利用しておらず、/tmpや/var/tmp配下に不審なファイルも見つかりませんでした。 Webエラーログについてですが、/etc/httd/logs/内のログを確認してみましたが、これといって怪しい記録は見つかりませんでした。（きちんと確認出来ていない可能性もありますが・・・）お恥ずかしい質問なのですが、これまで各サービスの更新＝「yum update」を実施することだと思っていたのですが、それ以外にもサービスを更新する為の作業が必要なのでしょうか？ Fedora 10はサポートが終了しているからなのか、ある時期から「yum update」を実施しても何も更新されなくなっているようですので、作業が必要ということなのでしょうか？セブンさんのご助言通り、サーバはそのうち初期化をしようと思います。どうもありがとうございました。
Re: これってハッキングされたってことでしょうか？ ( No.4 )
æ¥æï¼ 2011/03/06 12:04 ååï¼ strangerr 参照： http://ja.528p.com/ `通常のupdateが可能なのはfc13以降です fedoraはredhatの開発版であって１つのバージョンのサポート期間が短いです http://fedoraproject.org/ http://fedoraproject.org/wiki/Ja_JP などのサイトで最新の情報を得ましょう`