はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/01/16
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。

 ハッカー
日時: 2006/11/18 00:11
名前: Sol

対処方法を教えてください。

最近自宅サーバーを設置しました。
構築日記をHTMLで作っていたのですがポートが開いていたらしく第三者に見られていたみたいです。
この日記は後日公開予定だったのですが内容にはパスワード等を書いていて最終的にはこの部分は省こうと思っていました。

昨日からサーバーのレスポンスが遅くなって調べてみると意味不明なユーザーが70個程作られていました。
szdffhdやjfgmrtと言うユーザーです。
それとメールサーバーも構築していないのにいつの間にか送信できるようになっていました。
wコマンドを打つと10から20のログインが確認できます。

rootになろうにもパスワードが変わってしまっているようでログインできません。
このような場合はどうすればよいのでしょうか?
よろしくお願いします!!

■ コンテンツ関連情報

 Re: ハッカー ( No.1 )
日時: 2006/11/18 01:03
名前: ペコ   <ippeip@yahoo.co.jp>

ハッカーに対しての対策は、後々として・・・
まずは、rootのパスワードを取り戻す方法をお教えいたします。

1 テキストモードでサーバーを起動(再起動)する。
2 boot:プロンプトで「linux single」と入力する。
3 しばらくするとbash#が表示されるはずなので、「passwd root」と入力してみてください。
4 あとは、サーバを再起動するだけなんですが・・・

できましたかな??
 Re: ハッカー ( No.2 )
日時: 2006/11/18 08:42
名前: Sol

ペコ様

ご教示ありがとうございます。

”boot:プロンプト”の出し方がわかりません。
恐れ入りますが再度、ご教授頂けないでしょうか。
よろしくお願いします。
 Re: ハッカー ( No.3 )
日時: 2006/11/18 10:27
名前: ももんが

Sol 様

多分以下のページのようにやれば出来ると思います。

http://kajuhome.com/patio_thread/340.shtml

※ 横スレゴメンナサイ!
 Re: ハッカー ( No.4 )
日時: 2006/11/18 11:40
名前: Sol

ももんが様

ありがとうございました!!
rootのパスワードの変更ができました。
とても感謝しています!!!。
やっぱり掲示板っていいですね。自分で解決できない事をご質問させて頂いてすぐに回答が返ってくるのは感激です。

ちなみに、私の不注意でサーバを乗っ取られてしまったのですが再インストールした方が無難でしょうか?
最構築時はもちろん、すべてのポートを閉じ不要なサービスも止めてから行う予定です。

効率の良い構築方法がありましたらご返信頂ければ幸いです。

以上、よろしくお願いいたします。
 Re: ハッカー ( No.5 )
日時: 2006/11/18 12:46
名前: Johann
参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

>ちなみに、私の不注意でサーバを乗っ取られてしまったのですが再インストールした方が無難でしょうか?

むしろ再インストールしないとヤバイです。
とりあえずネットワークから切断しておきましょう。
 Re: ハッカー ( No.6 )
日時: 2006/11/18 12:58
名前: ももんが

>Sol 様

とりあえず、1ステップ前進してよかったですね。ところで、サーバーですがネットワークから
切り離してありますよね?(とても危険な状態だと思います)

おっしゃる通りルーターやサーバーでポート閉じて、再インストールすれば今回のようなことには
ならないと思います。更に以下のページなどを参照してセキュリーティーに配慮すればよりベターです。

http://kajuhome.com/index_03.shtml

ですが、お急ぎでなければ、もう少しペコさんや他の方のご意見を聞いてみませんか?今後同じような
ことがあった場合の効率の良い解決方法を教えてもらえるかもしれません。夜間に回答してくれる方が多い
ので、一晩回答待ちませんか?私もこういう場合の対策方法を知りたいです。
 Re: ハッカー ( No.7 )
日時: 2006/11/18 14:05
名前: Sol

Johann様。ももんが様。

ご親切にご支持頂きましてありがとうございます。
ネットには、wコマンドで不審なユーザーがいる事に気づいた瞬間から外しています。
再インストールして慎重に構築しようと思います。

また、色々な情報もお待ちしていますのでしばらくこのスレッドを開いておこうと思いますので情報をお待ちしております。
ご親切にしていただいた、みなさま、本当に感謝しています。
ありがとうございました。
 Re: ハッカー ( No.8 )
日時: 2006/11/19 07:44
名前: ももんが

>Sol 様

過去スレに同様なケースがありました。この様な場合、やはり再インストールするしか
無いみたいですね。このときもJohannさんがアドバイスをしてくれていました。
ちょっとした不注意で大変なことになるんですね。私も気をつけます。

http://kajuhome.com/patio_thread/167.shtml
 Re: ハッカー ( No.9 )
日時: 2006/11/19 09:57
名前: Johann
参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html

ももんがさん、Solさん

過去ログ見たら私結構厳しい事を書いてましたね(汗
私はハッキングされたことは無いのですが、事後調査のポイントは以下だと思います。

1. どのサービス経由で侵入されたのか。(ssh、web、telnet等)

2. どのアカウントが破られたのか。

3. 破られた後、何をされてしまったのか。(今回の場合だとメールサーバーにされてしまった?)

/var/log下のログ解析や、現在動いているプロセスの状況調査。そして、破られたユーザーが判明
したらそのユーザーのコマンドヒストリーを見てみるのも良いと思います。消されちゃってたら駄目ですが。。

私自身も勉強になりますので他の方のご意見もお聞きしたいところです。
 Re: ハッカー ( No.10 )
日時: 2006/11/19 11:51
名前: Sol

ももんが様。Johann様。

今回の件で、とても反省している次第です。
ハッキングされたIDはrootである事はわかっています。(最低な事ですけど。)
相手のIPも判っていますが、踏み台サーバーかもしれないので最終的なIPはたどる事は不可能です。

今回は、ssh→root→mailサーバー不正構築
         →一般ユーザ作成→メール送信(100万通位)
とんでもない事をしてしまいました・・・・・・(とても反省しています。)

Historyは残っていませんでした。たぶん消されたんでしょうね。
これから再インストールを行う予定です。このHPでセキュリティ強化がありますが、これで十分でしょうか?
とても神経質になっているのでご教示ください。

よろしくお願いいたします。
 Re: ハッカー ( No.11 )
日時: 2006/11/19 23:57
名前: ペコ   <ippeip@yahoo.co.jp>

ご苦労様です。
たしかに、ハッカーというのは非常にやっかいなもので、
一度襲われると神経質になるのは当たり前です。

ハッキングの手段は、日々進化しています。
しかし、その進化の流れというのは、ワンパターン化してきているようです。

この際、本屋に行って、一冊くらいセキュリティについての資料を購入してみてはいかがでしょうか?
自分で、セキュリティの概念を理解することが大切です。

お金を使いたくなければ、めんどくさいでしょうが、インターネットで検索するという方法もあります。
「サーバ セキュリティ」なんてワードで検索すれば、相当でます。

このサイトの管理人様は、しっかりとセキュリティについて解説されています。
このセキュリティ装備をすれば、そう簡単にハッカーは近寄らないと思います。
しかしながら、基本的な対策に過ぎず、いざ、ハッキングされた時の対処は、
セキュリティという概念をしっかりと学ぶ必要があります。

とにかくまずは、このサイトで紹介されているセキュリティ対策で大丈夫とおもいます。
 Re: ハッカー ( No.12 )
日時: 2006/11/20 07:55
名前: Sol

ペコ様。

何度もご教示いただきましてありがとうございます。
昨日、再インストールを行いました。
1.ルータのポートを全て遮断
2.FCインストール
3.http://kajuhome.com/index_03.shtmlに従って、セキュリティ強化
4.http://kajuhome.com/index_04.shtmlのSSHを鍵認証に変更
5.WEBサーバー設定

あと、ペコ様のご教示通り書籍を見に行ってまいりました。
大体がこちらのサイト様の事と同じセキュリティ設定だったので”これは!”と言うのは見つかりませんでした。
(書籍自体が少なかったっていうのもありましたが。もちろん、セキュリティ概念を説明しているものは沢山あり、購入を考えましたが、設定方法を目的として足を運んだ次第だったので購入までは至りませんでした。)

>とにかくまずは、このサイトで紹介されているセキュリティ対策で大丈夫とおもいます。
一通り行いました。
もちろんの事、これで安心とは思っていませんが、安堵はしています。
管理者様、こちらのスレッドをご覧いただいておられたらご助言いただけないでしょうか?
他にも、こうした方が良いとかありましたら、ご情報をお寄せください。

以上、よろしくお願いいたします。
 Re: ハッカー ( No.13 )
日時: 2006/11/21 09:04
名前: 管理者

Solさん、こんにちは。

当サイトを参考頂きましてありがとう御座います。
とても災難でしたね。
当方はセキュリティには敏感になっていますが、『完璧』と言うものは存在しません。
注意するとすれば、大体が以下のことだと思います。

・サーバはなるべくリモート(外部)から操作しないようにする。
 (リモートから操作する場合は、SSH + 鍵認証 + IPアドレスの限定と言うところでしょうか。)
・不要なサービスは起動しない。
・不要なポートは開放しない。
・個人利用だとしても、rootになれる一般ユーザを限定する。
・こまめに、パッケージのアップデートを行う。
・セキュリティの概念を理解する。
 (ペコさんが書かれた事は結構重要です。ハッカーはあらゆる手段でアタックしてきます。
  専門書籍を読んで、どの様な対策を立てればよいのかある程度予測ががたてられますよ)

固定IPやドメイン名で公開していた場合は特定されてしまっているので一度乗っ取られたサーバは
しつこくアタックしてくると思いますので十分注意してくださいね。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.