2005-10-17
Cracked!
不覚にも私が管理しているサーバにCrackerが侵入していた。それも9月6日から。1ヶ月も気づかなかったとは。
netstatしたらポート31337がESTABLISHEDだったので気がついた。 Logを見ると、あるアカウントにsshにパスワードでloginしている。幸いrootにsuできないユーザだったのでシステムへの影響は少ないと思われるが、他のホストへsshログインした形跡がある。見事に踏み台にされたわけだ。まぁLogを残しているところを見ると、そんなに腕の立つやつではなさそうだ。しかし油断はできない。というかこのシステムはもう信頼できない。
ひとまずsshのパスワード認証を切ってシステムを再起動。これでヤツはsshでloginできなくなったし、ポート3317にあがっていたIRC中継サーバも死んだ。一応rootkit対策でbase systemを再インストール。find / -user 侵入に使用されたユーザ名 とやると、/var/tmpにpsyBNCが見つかったので削除。実行ファイル名の日付を見ると10月8日。最初の侵入の日付と合わない。まだ何かある可能性が高い。とにかく今日の打ち合わせで報告して、メールをダウンロードしてもらい、システムを可及的速やかにクリーンインストールする必要がある。
銀英伝の「ハードウェアだけで戦争に勝ったためしはない」というセリフが頭をよぎる。システムはいくら堅牢でも、ユーザのパスワードがダメダメならそこから侵入されてしまう。
まぁ今回はユーザだけのせいではない。ユーザパスワードがダメダメの可能性が高いことがわかっていながら、sshのパスワード認証を有効にしていたことが主因だ。今思えば、自分は大丈夫という根拠のない油断があった。
今思いつく、クリーンインストール時にやらなければいけないことは
- sshのパスワード認証を無効にする
- 使っていないユーザがいるので、それらのユーザを消す
- loginの監視
- 侵入検知システム導入
- ネットワークパケットの監視
- syslogを外に出す
くらいかな。
このblogは、http://www.argv.org/~chome/blog/noisefactory/に移転しました。
Subscribe to Posts [Atom]