• ベストアンサー

不正アクセスらしいです。

RedHat7.2でApache/1.3.23です。 回線はOCNのADSLの固定IPサービスです。OCNから連絡があり うちのサーバーのユーザーのディレクトリにしらぬうちに/logon/というディレクトリが作成され、フィッシングサイトを形成しておりました。 ユーザーからの指摘でわかってクライアントがFTPで削除しようとしてもできないということなのでサーバーのrootで削除しました。 ここで質問です。このセキュリティホールはどこに原因があるとおもわれますか? セキュリティに関しては非常に甘い考えをもっていたことにいまさらながら情けなくおもっております。 可能性はいくつかあるかもしれませんがどうぞご教授ください。ちなみにOCNの解答はSSHにセキュリティホールがあるということなのですが、いかがでしょうか? SSHは3.1p1-3です。 SSHについて勉強不足なのですが、FTP以外リモートアクセスしないの場合でも必要なのでしょうか? よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.4

まず、サーバ環境を運用するのなら下記は最低限実施してください。 1. 不要なサービスを停止する 2. 外部ネットワークとの間に firewallがないのなら ipchains/iptablesなどのkernel firewall 機能 で特定にサービス以外のパケットは通さないように 設定する。 3. 不要なユーザアカウントを削除する 4. 各種ログを取る設定を行い、ログについて定期的な チェックを行う 5. kernel/サーバソフトウェアのセキュリティホール の修正を適用する 侵入の可能性を考えて日々の運用を行っていなかったとしたら経路の特定はまず無理でしょう。疑わしい部分を絞り込むことも困難です。 侵入をすでに許してしまっているとするとrootkitなどを使ってバックドアが仕込まれていたり、システムが信用できない状態に改ざんされている可能性が高いのですぐにでもネットワークから切り離して再インストールするべきです。 (rootkitを検知する chkrootkit などの検出ツールも存在しています。そういったソフトウェアを使えば何が仕込まれているのかはある程度調査は可能だと思います。ただし、信頼できる状態に回復するには再インストールしかありません。)

その他の回答 (3)

回答No.3

初めまして。 私は、VineLinuxでサーバ管理しています。趣味程度の知識ですが・・・。 SSHやFTPサーバを外部に公開しているということは、それだけである意味セキュリティーホールになっていると思います。いや、Apacheのバグによるセキュリティーホールより重要かもしれません。 で、バグによるセキュリティーホールもそうですが、ユーザの誰かが推測可能なパスワードに設定してあったりとか・・・。 これに関しては、どんなに最新のサーバを使おうが、関係ありませんが・・・。 消しても消してもってことで、たぶん、なにか仕掛けられて自動で作成されているのかも・・・。 私は、標準で apt-get が有り、初心者に(一応)やさしい VineLinux をお進めしますが・・・。 少なくとも、サポート打ち切りペースがはやいRedHatは初心者にはお勧めできません。 また、やむを得ずFTPサーバだけは外部に公開しても、SSHやTelnetサーバは公開する事は避けた方がよいと思います。

  • yosi_yosi
  • ベストアンサー率35% (165/468)
回答No.2

勉強不足を自負するぐらいならば、今すぐにでもネットワークから該当マシンを切り離してください。そのまま放置していると迷惑です。 RedHat Linux 7.2はすでにサポートが終了しています。(ご存知ですか?) RPMモジュールが7.2向けでの最新版であってもそれが現時点での最良の解とは限りません。いまだに古いバージョンを使っているぐらいですから、それほどスキルも無いのでしょう。スキルがあるのならば、Apache,OpenSSL,OpenSSH,その他サーバープログラム、Keenel周りなどのご自身でのアップグレードを進めますが(私も会社でメンテしている奴は7.2ですが、セキュリティ勧告が出たものやバージョンアップしたものは自分で適用しています。) 今の段階での対策は、Linuxを一度きれいに削除して(フォーマットしてから)もう一度インストールして、全パッケージをアップデートしてください。もちろんパスワードなどが漏洩している可能性もありますので全ユーザーのパスワードも念のために変えたほうがよいでしょう。 インストールするのは、RedHat系がよいのであればRed Hat Enterprise Linuxをお勧めします。(Fedora coreもありますが、こちらは実験目的ですのでサーバー用途にはお勧めできません。ましてや今のような状態では...) 安定志向でフリーで行くのならば、Debianもよいですね。

  • selenity
  • ベストアンサー率41% (324/772)
回答No.1

・OSのバージョン(各種インストール済みRPMモジュールはすべて最新ですか?) ・apache...かなり古いですね。今は1.3.33です。 ・OpenSSLは最新版ですか? ・OpenSSHは最新ですか? ・サーバのユーザアカウントで使用しないもの、パスワードはデフォルトのままであるもの、パスワードがサンプルのままであるもの、パスワードが安易なものはありませんか? ・ルータで不要なポートはREJECTしていますか? 最低限、各種プログラム、ライブラリの類は最新版にしておきましょう。 いずれにせよ、ネットワークスキュリティをきちんと勉強しましょう。

titikun00
質問者

補足

いったんそのディレクトリを削除したんですがまた生成されており、何度削除しても5分ほどたつと生成されるんです。 これはいったい? ほんとにセキュリティについて勉強しないといけません。 ただ、いませっぱつまってるんでとりあえず応急処置だけでもとおもいました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Linux系OS

関連するQ&A

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する