はじめての自宅サーバ構築 - Fedora/CentOS - Last Update 2008/12/05
It opened to 2004/09/19. Visitors
Pageviews
Today(IP/PV)		 3,616,133
14,192,970
1,152/5,915
このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。
踏み台
日時: 2005/06/10 10:25
名前: luckystrike

はじめまして

本日

「おたくのサーバを経由してSSH2で自分のサーバが攻撃されている。
 対応しなさい!」

と言う旨のお叱りメールをいただきました。
他の方に迷惑をかけているのが申し訳なく、早急に対応したいのですが、
なにぶん初心者で、セキュリティの本を購入したのですがさっぱりわからずどこから手をつけてよいやら。

SSHは切ってみたのですが、これだけでは不十分なのでしょうか?

皆様お忙しいこととは思いますが、ご助言をいただけたらと思い投稿させていただきました。

よろしくお願いいたします。
Re: 踏み台 ( No.1 )
日時: 2005/06/10 10:42
名前: 管理者

取れるかどうか分かりませんが「ps -ef」コマンドを実行してください。
その後すぐに、緊急対応として、サーバをLANから切り離してください。
その後、踏み台にされた理由から考えましょう。

@telnetでログインされて、sshで他の方にログインしようとしている?
Asshでログインされて、sshで他の方にログインしようとしている?
B既にプログラムが組み込まれてしまって、プログラムよりsshで他の方にログインしようとしている?

大抵は上記パターンだと思います。
取りあえずLANから切り離す事により、sshアタックされている方には迷惑が及びません。
@とAであれば、不要ポートを閉鎖し、ログインできるユーザを限定かつログインできるIPも限定してあげればよいでしょう。
しかしBが組み込まれてしまっては、何処に仕込まれたか調べるのが厄介です。
サーバを再インストールするのが無難です。

ログの中身も重要です。
「/var/log/messages」と「/var/log/secure」はバックアップ(Windows等に落とす)して下さい。
(一様、/var/log/配下はコピーしてください。)
この中に、グローバルIPアドレスよりログインしているログがあるはずです。それがいつの日だったか全てリスティングしましょう。

頻繁にログインしているならばBの可能性が低いと思われるので、@とAの対応策で大丈夫かもしれません。
Re: 踏み台 ( No.2 )
日時: 2005/06/10 13:22
名前: 管理者

追記

サービスを切っても無駄と思います。
ログインされて、また起動されたら意味ありませんので・・・

すみません、仕事中でこの後外出します。
夜にまた、当スレッドを確認します。
Re: 踏み台 ( No.3 )
日時: 2005/06/10 10:53
名前: luckystrike

お仕事中に申し訳ありません。

@、Aの対策はとってみました。

が、どうやらBのようなきがします。
再インストールすることを覚悟して、一日おいてみようかと思います。
(まずいでしょうか?)

お忙しいところ、どうもありがとうございました。
Re: 踏み台 ( No.4 )
日時: 2005/06/10 11:00
名前: 管理者

仮にプログラム(B)であった場合、どの様なプログラムかが問題ですね。
ちなみに、@とAはどの様な対策ですか?
サーバではなくルータ等でポートを閉鎖しているのであれば問題ないでしょう。

しかし、サーバ側でサービスの停止とiptablesの設定だけでは駄目だと思います。
プログラムの作りが、サービスを起動してポートを空ける様な仕組みであったらどうしようもありません。

物理的に閉鎖するか、ルータ等の第三の機器にて閉鎖してあるのであれば、そのままでも大丈夫と思います。
Re: 踏み台 ( No.5 )
日時: 2005/06/10 11:20
名前: luckystrike

@Aはルータにてポートを閉鎖しました。

おいそがしいところたびたびすいません。
ありがとうございます。
Re: 踏み台 ( No.6 )
日時: 2005/06/11 11:42
名前: Johann
参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

横からすみませんが、ルーターでポート閉じても意味無いような。
Outgoingをブロックするようなルーターなら別ですが。

すぐにネットワークから切り離し、ログの解析を行うべきです。
Cat5ケーブルを引っこ抜いて、サーバーにキーボードから入って何をされてしまった
のが調べてはどうでしょうか。

#あなたのサーバー経由で他の管理者へ迷惑をかけてしまったという事態を
#真摯に受け止めるべきです。
Re: 踏み台 ( No.7 )
日時: 2005/06/11 08:05
名前: 管理者

説明不足ですみません。

ポート閉鎖は@AのIncommingの事を差しています。
ログインしようとしている第三者を防ぐ為にtelnetとsshポートを閉鎖します。
Bに関しては勿論、Outgoingを防がなければいけません。

luckystrike様
理由をお書きしますね。
例)sshでログインしようとしている場合(上記で言うAの時)
┌───────────┐            ┌─────┐
│luckystrike様のサーバ │Port22 ←− 任意のポート│第三者のPC│
└───────────┘            └─────┘

例)プログラムでsshアタックしている場合
┌───────────┐            ┌─────────────┐
│luckystrike様のサーバ │任意のポート −→ Port22│クレームがあった方のサーバ│
└───────────┘            └─────────────┘

外出する為、きちんと説明する時間が無くて申し訳ありませんでした。
Re: 踏み台 ( No.8 )
日時: 2005/06/12 08:28
名前: Sou

 どうも。Souと申します。
久しぶりに見たら、すごいことになってますね。

 えっとですね。対処方法は、本来ならば、netstat,Arp,ipconfigを
打ってから、ネットワークから物理的に隔離をします。ただし、緊急の場合は
ネットワークから物理的に隔離をします。
 その後、メモリのダンプ(HELIX等を使う)揮発性なため、なるべく早くダンプを
するべきです。
 で、次にHDDをダンプさせます。これらを行っておくと、わかる人が見れば、有力な情報
を得ることが出来ます。

/var/log/ のなかにある、ログファイルは、信用できませんので注意が必要になります。
もちろん、ifconfigやnetstat、Arp等のコマンドも信用できないので、USBメモリやCDに
いれてから、使用すると良いでしょう。

システム全体何されているかわからなければ、バックアップだけとっておき、上級者にみせるもしくは、PCを持っていくことをお勧めします。一通り終わったら、新しくインストールすることをお勧めします。

こんな感じでしょうか。参考にならないかもしれませんが・・・。気が動転してると思い
ますので、上級者に任せたほうが無難だと思います。場合によっては、大切なファイルを
消去するプログラムがあるかもしれませんしね。
Re: 踏み台 ( No.9 )
日時: 2005/06/13 09:04
名前: luckystrike

ありがとうございます。

とにかく緊急だったので、隔離して別のマシンと入れ替えました。

これからやられたサーバをいろいろ調べてみます。

お忙しいところ、どうもすいませんでした。
Re: 踏み台 ( No.10 )
日時: 2005/06/13 19:22
名前: luckystrike

Son様のお言葉通り、上級者に任せるのが速いと思い
本日、専門家に来てもらいました。

私は忙しくて話を聞けなかったのですが、
後日詳しく話しを聞こうと思います。

皆様、どうもありがとうございました
Copyright(©)2004-2008 First home server construction. All Right Reserved.