ハッカー

このスレッドはクローズされています。記事の閲覧のみとなります。

ハッカー

æ¥æï¼ 2006/11/18 00:11
ååï¼ Sol

対処方法を教えてください。最近自宅サーバーを設置しました。構築日記をHTMLで作っていたのですがポートが開いていたらしく第三者に見られていたみたいです。この日記は後日公開予定だったのですが内容にはパスワード等を書いていて最終的にはこの部分は省こうと思っていました。昨日からサーバーのレスポンスが遅くなって調べてみると意味不明なユーザーが７０個程作られていました。 szdffhdやjfgmrtと言うユーザーです。それとメールサーバーも構築していないのにいつの間にか送信できるようになっていました。ｗコマンドを打つと１０から２０のログインが確認できます。 rootになろうにもパスワードが変わってしまっているようでログインできません。このような場合はどうすればよいのでしょうか？よろしくお願いします！！

Page: [1] [2] [3]

■ コンテンツ関連情報

Re: ハッカー ( No.6 )

æ¥æï¼ 2006/11/18 12:58
ååï¼ ももんが

>Sol 様とりあえず、１ステップ前進してよかったですね。ところで、サーバーですがネットワークから切り離してありますよね？（とても危険な状態だと思います）おっしゃる通りルーターやサーバーでポート閉じて、再インストールすれば今回のようなことにはならないと思います。更に以下のページなどを参照してセキュリーティーに配慮すればよりベターです。 http://kajuhome.com/index_03.shtml ですが、お急ぎでなければ、もう少しペコさんや他の方のご意見を聞いてみませんか？今後同じようなことがあった場合の効率の良い解決方法を教えてもらえるかもしれません。夜間に回答してくれる方が多いので、一晩回答待ちませんか？私もこういう場合の対策方法を知りたいです。

Re: ハッカー ( No.7 )

æ¥æï¼ 2006/11/18 14:05
ååï¼ Sol

Johann様。ももんが様。ご親切にご支持頂きましてありがとうございます。ネットには、wコマンドで不審なユーザーがいる事に気づいた瞬間から外しています。再インストールして慎重に構築しようと思います。また、色々な情報もお待ちしていますのでしばらくこのスレッドを開いておこうと思いますので情報をお待ちしております。ご親切にしていただいた、みなさま、本当に感謝しています。ありがとうございました。

Re: ハッカー ( No.8 )

æ¥æï¼ 2006/11/19 07:44
ååï¼ ももんが

>Sol 様過去スレに同様なケースがありました。この様な場合、やはり再インストールするしか無いみたいですね。このときもJohannさんがアドバイスをしてくれていました。ちょっとした不注意で大変なことになるんですね。私も気をつけます。 http://kajuhome.com/patio_thread/167.shtml

Re: ハッカー ( No.9 )

æ¥æï¼ 2006/11/19 09:57
ååï¼ Johann
参照： http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

ももんがさん、Solさん過去ログ見たら私結構厳しい事を書いてましたね（汗私はハッキングされたことは無いのですが、事後調査のポイントは以下だと思います。 1. どのサービス経由で侵入されたのか。(ssh、web、telnet等） 2. どのアカウントが破られたのか。 3. 破られた後、何をされてしまったのか。（今回の場合だとメールサーバーにされてしまった？） /var/log下のログ解析や、現在動いているプロセスの状況調査。そして、破られたユーザーが判明したらそのユーザーのコマンドヒストリーを見てみるのも良いと思います。消されちゃってたら駄目ですが。。私自身も勉強になりますので他の方のご意見もお聞きしたいところです。

Re: ハッカー ( No.10 )

æ¥æï¼ 2006/11/19 11:51
ååï¼ Sol

ももんが様。Johann様。今回の件で、とても反省している次第です。ハッキングされたIDはrootである事はわかっています。(最低な事ですけど。) 相手のIPも判っていますが、踏み台サーバーかもしれないので最終的なIPはたどる事は不可能です。今回は、ssh→root→mailサーバー不正構築 →一般ユーザ作成→メール送信(100万通位) とんでもない事をしてしまいました・・・・・・(とても反省しています。) Historyは残っていませんでした。たぶん消されたんでしょうね。これから再インストールを行う予定です。このHPでセキュリティ強化がありますが、これで十分でしょうか？とても神経質になっているのでご教示ください。よろしくお願いいたします。

Page: [1] [2] [3]

■ その他

ページ先頭へ

Re: ハッカー ( No.6 )
æ¥æï¼ 2006/11/18 12:58 ååï¼ ももんが >Sol 様とりあえず、１ステップ前進してよかったですね。ところで、サーバーですがネットワークから切り離してありますよね？（とても危険な状態だと思います）おっしゃる通りルーターやサーバーでポート閉じて、再インストールすれば今回のようなことにはならないと思います。更に以下のページなどを参照してセキュリーティーに配慮すればよりベターです。 http://kajuhome.com/index_03.shtml ですが、お急ぎでなければ、もう少しペコさんや他の方のご意見を聞いてみませんか？今後同じようなことがあった場合の効率の良い解決方法を教えてもらえるかもしれません。夜間に回答してくれる方が多いので、一晩回答待ちませんか？私もこういう場合の対策方法を知りたいです。
Re: ハッカー ( No.7 )
æ¥æï¼ 2006/11/18 14:05 ååï¼ Sol Johann様。ももんが様。ご親切にご支持頂きましてありがとうございます。ネットには、wコマンドで不審なユーザーがいる事に気づいた瞬間から外しています。再インストールして慎重に構築しようと思います。また、色々な情報もお待ちしていますのでしばらくこのスレッドを開いておこうと思いますので情報をお待ちしております。ご親切にしていただいた、みなさま、本当に感謝しています。ありがとうございました。
Re: ハッカー ( No.8 )
æ¥æï¼ 2006/11/19 07:44 ååï¼ ももんが `>Sol 様過去スレに同様なケースがありました。この様な場合、やはり再インストールするしか無いみたいですね。このときもJohannさんがアドバイスをしてくれていました。ちょっとした不注意で大変なことになるんですね。私も気をつけます。 http://kajuhome.com/patio_thread/167.shtml`
Re: ハッカー ( No.9 )
æ¥æï¼ 2006/11/19 09:57 ååï¼ Johann 参照： http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html ももんがさん、Solさん過去ログ見たら私結構厳しい事を書いてましたね（汗私はハッキングされたことは無いのですが、事後調査のポイントは以下だと思います。 1. どのサービス経由で侵入されたのか。(ssh、web、telnet等） 2. どのアカウントが破られたのか。 3. 破られた後、何をされてしまったのか。（今回の場合だとメールサーバーにされてしまった？） /var/log下のログ解析や、現在動いているプロセスの状況調査。そして、破られたユーザーが判明したらそのユーザーのコマンドヒストリーを見てみるのも良いと思います。消されちゃってたら駄目ですが。。私自身も勉強になりますので他の方のご意見もお聞きしたいところです。
Re: ハッカー ( No.10 )
æ¥æï¼ 2006/11/19 11:51 ååï¼ Sol ももんが様。Johann様。今回の件で、とても反省している次第です。ハッキングされたIDはrootである事はわかっています。(最低な事ですけど。) 相手のIPも判っていますが、踏み台サーバーかもしれないので最終的なIPはたどる事は不可能です。今回は、ssh→root→mailサーバー不正構築 →一般ユーザ作成→メール送信(100万通位) とんでもない事をしてしまいました・・・・・・(とても反省しています。) Historyは残っていませんでした。たぶん消されたんでしょうね。これから再インストールを行う予定です。このHPでセキュリティ強化がありますが、これで十分でしょうか？とても神経質になっているのでご教示ください。よろしくお願いいたします。