2006年9月20日

[users 6822] ハッキング報告

先ほどサーバーをクラックされたとのメールをした清水です。
皆さん、本当にいろいろとありがとうございます。
アドバイスをいただきました皆様にお礼を申し上げます。
ありがとうございました。

サーバーのクラックされた状況からご説明させていただきます。

サーバーは都内某データーセンター内にてUCOM回線にて

接続されているものでLANの構築はされていないものです。
WEBサーバーとして利用する目的で、特殊なソフトを知人の
業者にインストールしてもらう為に、わかりやすいパスワード
1234を設定してインストールしてもらいました。
すぐにパスワードを変更しておけばよかったのですが、
数日間そのままにしておき、いざ使おうというときになって
rootでログインできない状態となりました。

最初は知人の業者がrootのパスを変更したものと思い、
疑ったのですが、業者はそんなことはしてないということで
仕方がないのでデーターセンターまで行き、コンソールから
シングルユーザーモードで立ち上げてrootのパスを新しいものに
設定して立ち上げました。

すると覚えの無いユーザーディレクトリが作成されていることを
発見。業者に問い合わせたところ知りませんとのこと。

もしかしたらハッキングされたのかと思い、lastコマンドを叩いた
ところ、イタリアからのIPの形跡。

いろいろと調べたらどこかのディレクトリにお土産が置いてあり
それがパスワードをクラックするようなのもで、1234とかabcd
とかの文字が羅列してあるファイルでした。

見覚えの無いユーザーを削除してrootのパスも変更して
お土産も削除・・・。
これで大丈夫かと思って、2日経った今日、時間が狂っている
のに気づき、ntpで修正しようと思ったらERROR。

おかしいと思い、yumでntpのupdateを試みますがERRORが
でてupdateできず。

試行錯誤するうちに/usr/sbinの属性変更がrootでログインして
いるにもかかわらすに不可能なことが判明。
さらにコマンドも改ざんされておりました。
改ざんされたコマンドを元に戻そうとしたら、rootでログインいているにも
関わらずにそれが出来ない・・・。

そこで、Clamを入れて調べたところ、いろいろなものが発見できました。
こうなっては、もはや自力の解決は出来ないと思い、皆様にお願いしたという
流れでした。

皆さんのご指示にありますように、一度データーを移動して再構築するように
いたします。

本当にありがとうございました。


_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月20日 00:41
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46111
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。