• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:Linuxで不正にファイルを置かれたかどうか調べた)

Linuxで不正にファイルを置かれたかどうか調べる方法

このQ&Aのポイント
  • 現在運用しているテスト用のレンタルサーバで不正にメールを大量送信した形跡が見つかったとの報告を受け、ログイン履歴を確認したところ3ヶ月程ログインしたユーザはいない模様でした。
  • メールを送信した時期はここ2,3日の間なので誰かがログインしてメールを送ったわけではなさそうです。不正なファイル等を置かれた可能性があるのでは?とのアドバイスをもらったのですが、最近追加編集されたファイルを探す方法はありますか?
  • また、別の視点で調査する方法等ありましたら教えてください。参考ページ等もありましたらお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

「別の視点で調査する方法」としてですが、メールサーバのセキュリティ侵害で多いのは、不正にメールの中継に利用されているケースです。まずは次のようなサイトで自主チェックを! 第三者中継チェック RBL.JP http://www.rbl.jp/svcheck.php 何をどのように調査すべきかは、「不正にメールを大量送信した形跡」というのが何なのかによります。開示できるようなら、その形跡がどんなものかを教えて下さい。「不正なファイル等を置かれた可能性があるのでは?」というのも同様です。なぜその可能性があると考えているのか。上記の不正なメール中継であれば、Webサイトの書き換え等に直接つながる訳ではないですからね。 ログだけで判断するのは危険ですよ。本当にサーバに不正ログインされていたのであれば、ログ等その証跡も消されているでしょう。 なお、大問題になる前にセキュリティの専門家に相談することも検討して下さいね。

すると、全ての回答が全文表示されます。

その他の回答 (2)

  • kc1127
  • ベストアンサー率50% (4/8)
回答No.3

みなさんと回答の質が違くてはずかしいですが、 OS標準のfindコマンドで $ find /var/log -mtime 0 などと実行すれば、/var/log以下で、今日変更されたファイルの一覧が (ディレクトリも含めて)取得できます。 $ find /var/log -mtime 0 /var/log /var/log/setup.log /var/log/setup.log.full

すると、全ての回答が全文表示されます。
回答No.1

報告してきた人は、どんな「形跡」を得たのでしょうか。気になりますね。 それによっては調査の手掛かりになるかもしれません。 一般的にメールに関する調査はメールログを見ることから行います。 RedHat系であれば/var/log/maillog がデフォルトのログファイルですが、解読には多少の知識が必要になるかもしれません。 なおメール送信はサーバにログインしなくても何らかのプログラムを置かなくても可能です。 いわゆる「踏み台」にされる場合がおおいのです。つまり、「メールサーバの機能でメールを受信したが、そのサーバが受け取るべき宛先ではなかったのでしかるべきサーバに送信しなおす」のがリレーです。 普通は踏み台にされることを避けるため、自分が受け取るべきではないメールは受信を拒否し、例外として認められたネットワークからのメールや、あらかじめ認証された場合のみリレーを行うように設定します。 メールサーバのリレー許可設定を見直すとか、SMTPAuthを取り入れるなどを検討してみてください。

すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Linux系OS

関連するQ&A

注目のQ&A

カテゴリ

OKWAVE コラム

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する