- ベストアンサー
Ubuntu10.10のセキュリティーについて教えてください
- 不正アクセスされている可能性があるようなので、アドバイスをいただきたいです。
- Ubuntu 10.10で行ったnmapの結果によると、ルーターのポート21がTrolltech Troll-FTPdで使用されていることがわかりました。しかし、このようなサーバーを立ち上げた記憶はありません。どのように不正アクセスが行われているか調べる方法を教えていただけますか?
- ネットワークに詳しくないので、アドバイスをお願いします。外部からのPCポートは閉まっているようですが、内部のポートについても確認する方法を教えてください。
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
nmap の 相手先は global address で 間違いないみたいですが 本当に、外部からやらないと正しくないみたいです。 とりあえず、下記に access してやってみて下さい。 「下記の「ご注意・制約事項」を確認下さい」 の所に check を 付けないと 実行出来ません。 ポートチェック【ポート開放確認】 http://www.cman.jp/network/support/port.html あと Ubuntu を clean install すれば 大丈夫だと思います。 外部から、そう簡単に侵入出来るものではありません。 ただ、そのPC を local で 直接操作されると 何をされるか解りません。 それだけ、注意でしょう。
その他の回答 (6)
- cynthia4
- ベストアンサー率51% (186/358)
>ubuntu については、今のところ、改竄された証拠はありません。 貴方の調べが進んでいないので、「今のところ、改竄された証拠はありません。」 と言っています。 // nmap だけで 解る訳ではありません。 clean install した方が良いでしょう。 >ルーターをリセットしてみましたが reset だけでは駄目で、 ルータの 説明書に 何かの switch ( 例えば reset sw の場合もあります ) を 何秒間以上押す とか 書いてあるはずです。 それで 、工場出荷の設定に戻す。 port は、全て閉じているはずです。
お礼
cynthia4さん 何度もすみません。 そうですよね。ご協力頂いているのに調べが進んでいなくてすみません。 ルーターに関してですが、裏のボタン見たいのを押しながら、電源を入れて、しばらく待って赤いランプがついたのですが...。 その後、プロバイダーのID,PASSの設定をして、nmapしてみたんですよね? 購入時に戻す初期化というのをやってみたのですが...。 このような結果になってしまったんですよ。 OS側の問題ですかね。 やはりクリーンインストールしてみます。 空のハードディスクとknoppixで、CDブートしてから、もう一度ルーターの初期化をしてみたいと思います。 いつも、有り難うございます。 本当に何度もすみません。
補足
cynthia4さん すみません。 空のハードディスクと、ubuntuデスクトップ版を、 とりあえず、Ubuntuをインストールせずに試してみるというかたちで、CDでブートのみの状態で ルーターを初期化した後、nmapのみインストールして実行してしてみました。 今度は、21、53、80が開いてるみたいなんですよね。 相変わらず、 Trolltech Troll-FTPdとかいうのも出てくるし...? 開いているポート自体もさらに増えてしまったんですよね??? (インターネット)ー>(モデム)ー>(ルーター)ー>(PC)1台(Dell Poweredge-sc430) でしか使っていないんですが...? Ubuntuをクリーンインストールしてからやらないとだめなのですかね? ーーーーーーーーーー WAN側取得IPアドレスに ubuntu@ubuntu:~$ sudo nmap -sS 110.0.33.111 -p 1-65535 Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-15 19:53 UTC Nmap scan report for 111.33.0.110.xxx.ne.jp (110.0.33.111) Host is up (0.0011s latency). Not shown: 65532 filtered ports PORT STATE SERVICE 21/tcp open ftp 53/tcp open domain 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 104.19 seconds ubuntu@ubuntu:~$ sudo nmap -sS -sV 110.0.47.252 -p 21,53,80 Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-15 20:09 UTC Nmap scan report for 252.47.0.110.xxx.ne.jp (110.0.47.252) Host is up (0.00081s latency). PORT STATE SERVICE VERSION 21/tcp open ftp Trolltech Troll-FTPd 53/tcp open domain ISC BIND 9.4.3-P4 80/tcp open http? 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : SF-Port80-TCP:V=5.21%I=7%D=12/15%Time=4D092071%P=i686-pc-linux-gnu%r(GetRe SF:quest,341,"HTTP/1\.0\x20401\x20Unauthorized\r\nServer:\x20VR11-HTTPD\x2 SF:0v1\.00\r\nContent-type:\x20tex : : SF:e9\"\x20onClick=\"history\.back\(\)\"></P>\r\n\r\n\x20\x20</CENTER>\r\n SF:</FORM>\r\n</BODY>\r\n</HTML>\r\n"); Service Info: OS: Linux Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 61.47 seconds ーーーーーーーーーーーーー 私の知識不足で、ご迷惑お掛けしてしまいまして、本当に申し訳ございません。 ご協力、いつも本当に感謝しております。
- cynthia4
- ベストアンサー率51% (186/358)
>Windowsを使っていたときには、Agent uwt とかいう backdoorとかも入っていたり、 >ひどいので、そろそろ警察に行こうと思っているんですよね。 こういう事が有ったのでしたら 細かい事は止めて ルータ は 工場出荷時の設定 // reset switch を 例えば5秒以上押すとか // これは、そちらのルータで 確認して下さい。 Ubuntu を 再 install する。 single で 起動すれば password 無しで login 出来るし 何をやられているか解りません。 いくら firewall を 追っても難しいです。 firewall は 外部からの access を 制御するのであって 内部からの発信は制御しません。 >このまま、logを残して、警察に行ってしまった方が良いのでしょうか? 済みませんが、私には判断しかねます。 ubuntu については、今のところ、改竄された証拠はありません。
お礼
cynthia4さん いつも有り難うございます。 アドバイス いつも本当に有難うございます。 そうですか。Ubuntuは、とりあえず、問題なさそうなんですね。 すみません。話が前後してしまったのですが、windowsのbackdoorの話は、以前の物でいちおう、その後クリーンインストールして現在は使っています。 確かに、その後、使っている最中に,また何かされているかは不明ですが...。 ルーターをリセットしてみましたが、 bu@buSC430:~$ sudo nmap -sS xx.145.110.224 -p 1-65335 Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-16 01:56 JST sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.145.110.224, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:49622 > xx.145.110.224:5900 S ttl=37 id=55272 iplen=44 seq=3855629929 win=2048 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.145.110.224, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:49622 > xx.145.110.224:587 S ttl=37 id=3279 iplen=44 seq=3855629929 win=2048 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.145.110.224, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:49622 > xx.145.110.224:139 S ttl=53 id=2305 iplen=44 seq=3855629929 win=2048 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.145.110.224, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:49622 > xx.145.110.224:554 S ttl=55 id=8377 iplen=44 seq=3855629929 win=4096 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.145.110.224, 16) => Operation not permitted : : sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.145.110.224, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:49623 > xx.145.110.224:1720 S ttl=54 id=15352 iplen=44 seq=3855695464 win=3072 <mss 1460> Omitting future Sendto error messages now that 10 have been shown. Use -d2 if you really want to see them. Nmap scan report for 224.110.145.xx.ne.jp (xx.145.110.224) Host is up (0.0012s latency). Not shown: 65334 filtered ports PORT STATE SERVICE 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 104.31 seconds やはり、ポートの80番が開いているみたいなので、全て入れ直してしまった方が、良さそうですかね。 ご指導、いつも本当に有難うございます。
- cynthia4
- ベストアンサー率51% (186/358)
先ず、ルータ の設定を見て port80 が 他の port 番号に変換されていたなら 不正アクセス の可能性ではなく // 今までは、可能性 現実性がありますので ルータ を 工場出荷時の設定 Ubuntu を 再度 install // 何をされているか解らない id, password すべて変更 ルータ をどう見るかだが 貴方がport80 を 開けたのなら良いが そうでない場合は、身内にいじられた事になる ubuntu も 疑問
お礼
cynthia4さん 本当にいつもすみません。 Windowsを使っていたときには、Agent uwt とかいう backdoorとかも入っていたり、 ひどいので、そろそろ警察に行こうと思っているんですよね。 このまま、logを残して、警察に行ってしまった方が良いのでしょうか?
- cynthia4
- ベストアンサー率51% (186/358)
>現在は、ポート80しか、開いていないということで、問題ないと解釈しても良いのでしょうか? 貴方が、自身で開けたのなら良いですが そうは思えない。 また、port80 が 他のport 番号に設定されている可能性もあります。 // 22 or 23 に変換されているならかなり意識的にやられている。 閉じた方が良いのではないでしょうか。 ルータ の 設定を見直して下さい。 ルータの何かの switch を 何秒以上押すと 工場出荷の設定になるという機能があると思いますが こちらの方が良いかも知れません。
お礼
cynthia4さん いつも有り難うございます。 おっしゃられているようにポート80は、私は開けた憶えはありません。 (webcaster v110)最初の設定のままで、使っています。 はっきりとはよくわかりませんが、ルーターの設定に関しては、見た感じでは、ポートの変更はないようですが...? hostfileの書き換えなどわかりませんが...??? とりあえず、リセットはした方が良いのですね。 PC自体にnmapしてみました。 お時間がありましたら、アドバイスいただけましたら幸です。 bu@buSC430:~$ sudo nmap -sU -sT 127.0.0.1 -p 1-65335 Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-15 01:47 JST Nmap scan report for localhost.localdomain (127.0.0.1) Host is up (0.0074s latency). Not shown: 130666 closed ports PORT STATE SERVICE 631/tcp open ipp 68/udp open|filtered dhcpc 5353/udp open|filtered zeroconf 44529/udp open|filtered unknown Nmap done: 1 IP address (1 host up) scanned in 43.88 seconds bu@buSC430:~$ sudo nmap -sS -sV 127.0.0.1 -P0 -p 631,68,5353,44529 Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-15 01:49 JST Nmap scan report for localhost.localdomain (127.0.0.1) Host is up (0.000085s latency). PORT STATE SERVICE VERSION 68/tcp closed dhcpc 631/tcp open ipp CUPS 1.4 5353/tcp closed unknown 44529/tcp closed unknown Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 6.87 seconds bu@buSC430:~$ sudo nmap -sS 192.168.1.3 -p 1-65335 Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-13 23:03 JST Nmap scan report for buSC430 (192.168.1.3) Host is up (0.000034s latency). All 65335 scanned ports on buSC430 (192.168.1.3) are closed Nmap done: 1 IP address (1 host up) scanned in 9.49 seconds bu@buSC430:~$ sudo nmap -sU -sT 192.168.1.3 -p 1-65335 Starting Nmap 5.21 ( http://nmap.org ) at 2010-12-13 23:15 JST Nmap scan report for buSC430 (192.168.1.3) Host is up (0.0021s latency). Not shown: 130667 closed ports PORT STATE SERVICE 68/udp open|filtered dhcpc 5353/udp open|filtered zeroconf 57320/udp open|filtered unknown Nmap done: 1 IP address (1 host up) scanned in 43.09 seconds すみませんがよろしくお願いいたします。
- cynthia4
- ベストアンサー率51% (186/358)
続き、キリ がありませんが 1. 動作している daemon( service ) を check する。 sysv-rc-conf または chkconfig を install して調べる。 ssh, telnet, vnc, ftpd などを 特に 2. rkhunter や chkrootkit を install して rootkit が あるかどうか調べる。 普通はまず無いが、もし有ればかなり詳しくて悪質。 $ sudo rkhunter -c 3. ある訳が無いと思うが bifrost が あるかどうか調べる ( backdoor ) $ sudo updatedb $ sudo locate -i bifrost 4. top で 不審な process が起動していないか調べる。 5. 前の補足 bashのhistoryに時刻を表示する http://d.hatena.ne.jp/hirose31/20080117/1200552410 acct に ついては、 lastcomm ubuntu で検索 $ sudo ln -s /var/log/account /var/account が必要。
お礼
cynthia4さん 詳しいご説明を度々いただき本当に有り難うございます。 そうですよね。確かにセキュリティーには、キリはないかと思います。 なので、お教えいただいた物を一つずつ勉強しながら試してセキュリティーに心がけたいと思います。 いつも本当に有り難うございます。
- cynthia4
- ベストアンサー率51% (186/358)
https://forums.ubuntulinux.jp/viewtopic.php?id=10198 の続き? ルータ の wan 側の nmap は意味はあると思いますが ルータ の lan 側の nmap の意味は疑問 普通( lan 側から ) 設定用の httpd は動作していると思う。 保守用の ftpd は動作させている可能性が有る。 // プログラムの書き換え 私の、ルータ の 一台は ftpd が動作している。 # nmap -sS -sV 192.168.1.1 -P0 -p 21,53,80 Starting Nmap 5.00 ( http://nmap.org ) at 2010-12-11 07:58 JST Interesting ports on 192.168.1.1: PORT STATE SERVICE VERSION 21/tcp open ftp Generic WAP ftpd 1.6 53/tcp closed domain 80/tcp open http? 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin --------- -------- ルータ の wan 側 からと Ubuntu の port 開放に 異常が無ければ 当面 ok とする。 さて、身内の話となると微妙ですが >不正アクセスされている可能性があるようなので 具体的でない。log に不審点があったとか 当面 HISTTIMEFORMAT や acct を 設定・動作させて command が実行された時間とかを記録する。 現在の log を 見て不審点があるかどうか 調べるとか
お礼
cynthia4さん アドバイス、どうもありがとうございます。 今までは、wireshark等で、ネットワークのログはとっていましたが、 HISTTIMEFORMAT や acct も使ってログを取ったほうがよいのですね。 こちらに関しては、今まで知らなかったので、こちらも使ってみたいと思います。 ご教授、どうも有難うございます。
補足
ルーターの外側からnmapは、こんな感じで問題ないのでしょうか? 現在は、ポート80しか、開いていないということで、問題ないと解釈しても良いのでしょうか? WAN側取得IPアドレスに bu@buSC430:~$ sudo nmap -sS xx.5.225.120 -p 1-65535 結果: Starting Nmap 5.21 ( http://nmap.org ) at 2010-1 22:01 JST sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.5.225.120, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:46258 > xx.5.225.120:3306 S ttl=45 id=49614 iplen=44 seq=2102817556 win=2048 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.5.225.120, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:46258 > xx.5.225.120:111 S ttl=56 id=9999 iplen=44 seq=2102817556 win=1024 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.5.225.120, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:46258 > xx.5.225.120:3389 S ttl=47 id=35292 iplen=44 seq=2102817556 win=4096 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.5.225.120, 16) => Operation not permitted Offending packet: TCP 192.168.1.3:46258 > xx.5.225.120:199 S ttl=46 id=16352 iplen=44 seq=2102817556 win=3072 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.5.225.120, 16) => Operation not permitted :書ききれないので、省略しました。 : Offending packet: TCP 192.168.1.3:46258 > xx.5.225.120:135 S ttl=55 id=16033 iplen=44 seq=2102817556 win=4096 <mss 1460> sendto in send_ip_packet: sendto(4, packet, 44, 0, xx.5.225.120, 16) => Operation not permitted Omitting future Sendto error messages now that 10 have been shown. Use -d2 if you really want to see them. Nmap scan report for 120.225.5.xx.ne.jp (xx.5.225.120) Host is up (0.0011s latency). Not shown: 65534 filtered ports PORT STATE SERVICE 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 104.56 seconds この sendto error というのは、問題ないのでしょうか? -d2というのをつけてやってみましたら、エンドレスにこのようなメッセージがでてきたのですが...?
お礼
cynthia4さん いつも有り難うございます。 ネットワークの解析はやはりそういうものなのですね。 ポートチェックのサイトで、WAN側取得IPアドレスで、調べてみましたら、nmapでは、ポート80は開いているはずなのに、 こちらのサイトでは、 一応、 発行コマンド 監視エンジンポートチェック ホスト=220.150.74.57 ポート=80 ホスト:220.150.74.57 ポート:80 に到達できませんでした。 と閉じているような結果になりましたので、ひとまず、安心することができしました。 ご迷惑をお掛けしまして、大変申し訳ございませんでした。 これからも、まず、クリーンインストールするなりして、お教え頂いたセキュリティーをしっかり勉強して、もっとセキュリティーを高められるように心掛けたいと思います。 まずは、心配していた部分が、問題なさそうだという事がわかり、とても感謝しております。 本当に有難うございました。 色々とたくさんのアドバイスをいただき、重ねてお礼申し上げます。 本当に有難うございました。 それでも、気は抜けないので、これからがんばって勉強してみますね。 どうも有難うございました。