2006年9月19日

[users 6807] Re: ハッキングされてしまったのですが

blue rivers wrote:
> 初めまして清水と申します。
> お恥ずかしい話なのですがサーバーをハッキングされてしまいました。
> OSはfedora4を使用しております。
>
> 困ったことにrootでログインしているのですが、ディレクトリの
> パーミッションが変更できません。
> 全てというわけではないのですが、/usr/sbin の属性変更が

> できません。つまり、何もソフトがインストールできない状態です。
>
> 更にコマンドが改ざんされていて、例えばlsコマンドなどを使用できません。
> 使用できないどころか、lsコマンドを打つとウイルスプログラムが走り出す
> ようになっているようです
このような状態になったサーバは、どこに何が仕掛けられて
いるかわかりませんから、復旧を行うのではなく、以下のよ
うに別のシステムの用意をするべきです。

1. 代替サーバを用意する
2. 事故サーバ→代替サーバにデータを移す
3. 事故サーバをネットワークから切り離し,代替
サーバを事故サーバのアドレスに変更して運用する

1は事故サーバと同じFedora Core 4 が作業しやすいです。

2の移すデータは,サーバアプリが使うデータ,設定ファイル,
ユーザデータ,/etc/passwd,/etc/groupなどですが、事故サー
バの構成により当然移すべきファイルは変わります。
データを移すやりかたは,事故サーバを停止して,代替
サーバにマウントするのが望ましいです。ただ、サーバを停
止するタイミングでファイルシステムを壊すプログラムが走
る恐れもあります。これを考えると事故サーバは強制的に電
源をOFFした方がまだましかもしれません。強制的に電源を
OFFする場合は,ファイルシステムがまだ壊されていないこ
とを確認するべきです.実際はファイルシステムが壊されて
いても、ディスクキャッシュの作用で見えているだけ、と
いうこともあります。
事故サーバの電源を停止しない場合は、工夫してファイルを
ネットワーク経由などで取り出す必要がありますが,例えば
FTPで取り出すとしても,FTPでlsを使うことができないなど、
制限が大きいので注意を要します.

3の時点で,事故サーバと同じ脆弱性も塞いでおかないと
いけません。

--
--------------------------
南部製作所 河野悦昌
+81-88-626-6075
Yoshimasa Kawano
Nanbu works Inc.


_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月19日 17:57
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46071
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。