- ベストアンサー
SSHによる外部宛大量不正アクセスについて
ご覧のみなさまに質問です。 現在、私はとある場所に設置されているサーバーの管理者的な立場にあります。 本日、そのサーバーを接続されているネットワークの管理者から「外部宛に大量にSSHによるアクセスがされている」との通知が入りました。 早速、こちらでログを調査したところ、数日前にとあるユーザーがパスワードを変更されていることが判明いたしました。 さらにその数日前から、不正にアクセスしようと何度もアタックされているログも残っていました。 ネットワーク管理者からは対策がとられない場合には(サーバーを設置している)部屋全体のネットワーク利用を規制するとの通知が着ており、非常に困っております。 お手数お掛けいたしますが対策方法がわかる方がいらっしゃいましたら、ご教授下さい。よろしくお願い致します。 サーバーOS:Fedora Core6 BIND 9.3.4-P1 主な稼動中のサービス:Apach、MySQL、PostgreSQL、Sendmail、SSH、Usermin、Webmin ネットワーク環境:ルーターを介さず直接接続(現在はネットワーク管理者からの指示により切断中) 幸いログの改ざんはされていない模様です。 ただ、当時担当した人間が電源を落としてしまった為、不正アクセス時にどのようなサービスが動かされていたのか特定することが困難な状況になっています。 ※最終的にはリカバリーをかけますが。同じレベルの対策ですと再度クラッキングされる恐れがありましたので質問させていただきました。
- kaitousha2005
- お礼率14% (1/7)
- ハードウェア・サーバー
- 回答数6
- ありがとう数1
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (5)
>数日前にとあるユーザーがパスワードを変更されていることが判明いたしました。 もうすでに、バックドアやrootkitが仕込まれていることでしょう。 >幸いログの改ざんはされていない模様です。 侵入した証拠をログから消しているのでしょう。 対策1 OSから再インストールする。 対策2 スキルのある管理者への交代
補足
ご回答ありがとうございます。 当該ユーザーのホームディレクトリに該当プログラムの存在を確認いたしました。 今後は、OSの再インストール等の対策を行います。
- pakuti
- ベストアンサー率50% (317/631)
今回の事象に限って言えば SSHを許可しない。 でしょう ユーザアカウントでログインをする必要がありますか? 無いのであれば、一般ユーザのシェルを/sbin/nologin で 必要があって、IPで縛れるのであれば、iptablesで。 どれもダメであれば、SSHをパスワード認証にせずに鍵認証で。 それでもダメなら、諦める
補足
ご回答ありがとうございます。 確かに、おっしゃるとおりだと思います。 今回の事象の原因はSSHの使用を許可したことに起因するものであり、今後は、SSHそのものの使用を取り止める方向です。
- Wr5
- ベストアンサー率53% (2173/4061)
あえて突っ込みませんでしたが… uki629さんに同意です。 個人的にはSendmailよりPostfixだったりしますが。 # ちなみに自宅のはCentOS5。 # 標準だとopensshがログに記録する時刻がズレた上に二重に記録されるので # opensshの公式サイトから取得したパッケージと、Fedora等のSRPMから抽出したpatch使ってオリジナルビルドしたもの使ってます。 # 時々SRPMのパッチとかチェックしていますが。
補足
ご回答ありがとうございます。 私も、Sendmailよりはqmailを使いたいなと考えております。 そうすれば、もう少しまともな運用ができる気がしますので。
- uki629
- ベストアンサー率23% (40/172)
>最終的にはリカバリーをかけますが。同じレベルの対策ですと再度クラッキングされる恐れがありましたので質問させていただきました。 というけど 下記に理由を書きますがFdoraを使っている時点でもうダメダメなんですけどね。 >サーバーOS:Fedora Core6 BIND 9.3.4-P1 FC使っている時点でサーバ構築した人の力量はものすごく低いです。 RHELに対してのベータ板みたいなOSを外部公開サーバとして用意すること自体あれなんですよ。 Fedoraは安定性より最新技術を用いてということで問題があるのに サポート期間の短さがさらに問題あり。 Fedora Legacy Projectが解散した現在において Fedoraの場合次の次のバージョンのテスト2のバージョンの公開までがサポート期間だから もうFedoraCoreのサポート/アップデートパッケージの期間は数ヶ月くらいでしょうね。 (Fdora8が先日出ましたし) 金を出せるならRHEL。それができないにしてもせめてそのクローンOS(CentOSなど)あたりを最低限使ってもらいたいものですね。 まともなサーバ構築人ならそこを踏まえてFedoraで外部公開用サーバなんて使いまんけどね。 ここのサイト見ていると「力量が無い人に限ってサーバ公開をしたがる」って思いますよ。 自分ならこんな無知なサーバ構築した人とかかわりたくないので 逃げますね。 質問者も逃げられるなら逃げるべき
補足
ご回答ありがとうございます。 実は大学の研究室でLinuxサーバーを実験的に運用していたため、このような構成となっておりました。 おっしゃるとおり、逃げたい気も・・・
- yamamomo01
- ベストアンサー率37% (109/289)
もし残っているならば「とあるユーザ」のホームディレクトリ上にある「.bash_history」を眺めてみてはいかがでしょうか。 侵入経路がSSH経由でかつ、侵入してきた人がちょっとマヌケであればどのようなコマンドを打ったかが残っているかもしれません。 また、それまで使っていたApacheや各種データベースソフト等のバージョンを確認するのも重要です。 古いバージョンのソフトを使い続けていてセキュリティホールが出来ていた、というのはよくある話です。
補足
ご回答ありがとうございます。 おっしゃるとおり、コマンドのログがほぼすべて残っていました。
補足
ご回答ありがとうございます。 おっしゃるとおり、ログに操作履歴が残っていました。 なお、今後はSSHでの接続を全面的に禁止する予定です。