はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 質問掲示板

 これってハッキングされたってことでしょうか?
日時: 2011/02/20 02:05
名前: koji

以前ネット上の色々な情報を参考に自宅サーバ(Fedora 10)を構築し、しばらく電源を切っており、久々に立ち上げてみたところ、知らぬ間に/var/www/html/直下にindex.htmlが存在しており、
内容を確認したところ、
「Hacked By Gh0st Of MoroCCo
Geuss what ! 
Yeah,your are right
You just have been hacked
Try 2 fix your Security admin,cus it suckss 
add me : 
xov_@hotmail.com 
Fuck you admin 」
と言ったメッセージが表示されました。

これってapacheの設定が不完全でハッキングされたってことなのでしょうか?
ファイルの作成日を見ると、2009/4/16となっています。
このサーバを構築したのが2010年5月頃(/home直下のユーザディレクトリの作成日が2010/5/2となっている)だったかと思うのですが、このファイルについて、詳細(いつ頃作成されたものなのか?どの設定が原因なのか?)を確認する為のアドバイスを頂けないでしょうか?

ちなみにこの自宅サーバについては、現在はネットにも公開しておらず、ポートも閉じている状態です。
また、こちらのサイトに記載されているrootkitやtripwire等のセキュリティ対策は実施済みです。
よろしくお願いします。
メンテ

Page:  [1]

■ コンテンツ関連情報

 Re: これってハッキングされたってことでしょうか? ( No.1 )
日時: 2011/02/20 12:03
名前: セブン

>これってapacheの設定が不完全でハッキングされたってことなのでしょうか?

自分で作ったページでないなら、明らかにやられてしまったんでしょうね・・・
ご愁傷さまです。

>ファイルの作成日を見ると、2009/4/16となっています。
>このサーバを構築したのが2010年5月頃(/home直下のユーザディレクトリの作成日が2010/5/2となっている)>だったかと思うのですが、このファイルについて、詳細(いつ頃作成されたものなのか?どの設定が原因なのか?)を確認する為のアドバイスを頂けないでしょうか?

ハッキングされてしまったら、タイムスタンプなんて簡単に変えられそうだからいつ頃かはわからないでしょね。
まず、サーバは再初期化した方がいいです。
apacheに限らず、各サービスは脆弱性修正パッチなどが適時出ているので、常に最新にすることです。
あと、管理者ならばいつも確認や管理をしないと・・・・
ほったらかしはいけませんよ!
メンテ
 Re: これってハッキングされたってことでしょうか? ( No.2 )
日時: 2011/02/24 23:12
名前: ペングイン
参照: http://blog.trippyboy.com

やられています。

phpmyadminで古いバージョンつかってませんか?
setup.phpのパーミッションが実行可能になっていませんか?

/tmp
/var/tmp 配下に見知らぬファイルはありませんか?

Webエラーログのなかをgrepして、cat とか wget,curl,perl などを実行した記録はありませんか?

とにかくやられています。
1. 単純にコンテンツを変更されているだけ
2. backdoorを仕掛けている
の2パターンです。

みたところ、apacheユーザがアクセス出来るディレクトリ配下のファイルの改竄
または置き換えを行ったものと思われます。
メンテ
 Re: これってハッキングされたってことでしょうか? ( No.3 )
日時: 2011/03/05 18:54
名前: koji

>セブン さん
>ペングイン さん


ご返信頂きどうもありがとうございました。
やっぱりやられているようですね。
お恥ずかしい限りです。

>phpmyadminで古いバージョンつかってませんか?
>setup.phpのパーミッションが実行可能になっていませんか?
>
>/tmp
>/var/tmp 配下に見知らぬファイルはありませんか?
>
>Webエラーログのなかをgrepして、cat とか wget,curl,perl などを実行した記録はありませんか?


phpmyadminはそもそも利用しておらず、/tmpや/var/tmp配下に不審なファイルも見つかりませんでした。

Webエラーログについてですが、/etc/httd/logs/内のログを確認してみましたが、これといって怪しい記録は見つかりませんでした。(きちんと確認出来ていない可能性もありますが・・・)

お恥ずかしい質問なのですが、これまで各サービスの更新=「yum update」を実施することだと思っていたのですが、それ以外にもサービスを更新する為の作業が必要なのでしょうか?
Fedora 10はサポートが終了しているからなのか、ある時期から「yum update」を実施しても何も更新されなくなっているようですので、作業が必要ということなのでしょうか?

セブンさんのご助言通り、サーバはそのうち初期化をしようと思います。
どうもありがとうございました。
メンテ
 Re: これってハッキングされたってことでしょうか? ( No.4 )
日時: 2011/03/06 12:04
名前: strangerr
参照: http://ja.528p.com/

通常のupdateが可能なのはfc13以降です
fedoraはredhatの開発版であって1つのバージョンのサポート期間が短いです

http://fedoraproject.org/
http://fedoraproject.org/wiki/Ja_JP

などのサイトで最新の情報を得ましょう
メンテ

Page:  [1]

題名
名前  ("初心者"を含む名前は使用できません)
E-Mail
URL
パスワード 記事メンテ時に使用)
投稿キー (投稿時 投稿キー を入力してください)
コメント
画像添付 (対応画像:JPEG/GIF/PNG [Max 500KB])

   クッキー保存

■ その他


Copyright(©)2004-2018 First home server construction. All Right Reserved.