Linuxで不正にファイルを置かれたかどうか調べた

　現在運用しているテスト用のレンタルサーバで不正にメールを大量送信した形跡が見つかったとの報告を受け、調査することになりました。
　ログイン履歴を見たところ3ヵ月程ログインしたユーザはいない模様でした。
　メールを送信した時期はここ2,3日の間なので誰かがログインしてメールを送ったわけではなさそうです。
　不正なファイル等を置かれた可能性があるのでは？とのアドバイスをもらったのですが、最近追加編集されたファイルがあるか？また何処にあるか？等探す方法はありますでしょうか？

　また、別の視点で調査する方法等ありましたら教えて下さい。
　参考ページ等もありましたらお願いいたします。
　
　よろしくお願いいたします。

No.2 ベストアンサー 回答者： skunkworks 回答日時： 2012/07/21 07:21

「別の視点で調査する方法」としてですが、メールサーバのセキュリティ侵害で多いのは、不正にメールの中継に利用されているケースです。

まずは次のようなサイトで自主チェックを！

第三者中継チェック RBL.JP
http://www.rbl.jp/svcheck.php

何をどのように調査すべきかは、「不正にメールを大量送信した形跡」というのが何なのかによります。開示できるようなら、その形跡がどんなものかを教えて下さい。「不正なファイル等を置かれた可能性があるのでは？」というのも同様です。なぜその可能性があると考えているのか。上記の不正なメール中継であれば、Webサイトの書き換え等に直接つながる訳ではないですからね。

ログだけで判断するのは危険ですよ。本当にサーバに不正ログインされていたのであれば、ログ等その証跡も消されているでしょう。

なお、大問題になる前にセキュリティの専門家に相談することも検討して下さいね。

No.3 回答者： kc1127 回答日時： 2012/07/21 17:44

みなさんと回答の質が違くてはずかしいですが、

OS標準のfindコマンドで

$ find /var/log -mtime 0

などと実行すれば、/var/log以下で、今日変更されたファイルの一覧が
（ディレクトリも含めて）取得できます。

$ find /var/log -mtime 0
/var/log
/var/log/setup.log
/var/log/setup.log.full

No.1 回答者： lowrider_2005 回答日時： 2012/07/20 17:47

報告してきた人は、どんな「形跡」を得たのでしょうか。

気になりますね。
それによっては調査の手掛かりになるかもしれません。

一般的にメールに関する調査はメールログを見ることから行います。
RedHat系であれば/var/log/maillog がデフォルトのログファイルですが、解読には多少の知識が必要になるかもしれません。

なおメール送信はサーバにログインしなくても何らかのプログラムを置かなくても可能です。
いわゆる「踏み台」にされる場合がおおいのです。つまり、「メールサーバの機能でメールを受信したが、そのサーバが受け取るべき宛先ではなかったのでしかるべきサーバに送信しなおす」のがリレーです。
普通は踏み台にされることを避けるため、自分が受け取るべきではないメールは受信を拒否し、例外として認められたネットワークからのメールや、あらかじめ認証された場合のみリレーを行うように設定します。

メールサーバのリレー許可設定を見直すとか、SMTPAuthを取り入れるなどを検討してみてください。