4/13(金) 18:00 - 4/16(月) 6:00 の間に、私のメールアカウントに多量の「Delivery failure」メールが入っていることに気づきました。プロバイダに確認したところ、私のアカウントから多量のメールが発信されているそうです。もちろん、私自身が打ったメールではありません。
どうやら、パソコンを乗っ取られスパムメール発信の踏み台にされているようです。
そこで、今日からネットワークを遮断した上で、侵入経路や被害状況を確認したいのですが、ご助言をお願い致します。
私自身はLinux素人のため:
●last
●lastlog
●/var/mail/メールログファイル
程度しか調べられませんでした。その他、調査に有用なコマンドや手順がありましたらお教えください。
尚、通信環境は次のとおりです。
Debian GNU/Linux 9.4 (stretch)->ルータ->Wimax->nifty
さらに、メールの発/受信に、所謂メーラソフトは使用しておりません。常にプロバイダのwebメールを使用しております。
No.6ベストアンサー
- 回答日時:
>それによると多くの「Delivery Failedメール」を受け取った4/13 - 16はログインしておりません。
それ故、webメールの乗っ取りは除外してよいのではないかと思われます。Webメール経由での送信はない。
と判断してよいかと。
しかし…
>『【回答】お客様のメールご利用記録をお調べいたしましたところ、大量にメールが送信
>されている記録があることを確認いたしました。』
>と、言われております。
なので、SMTP認証はされた。
と考えるのが妥当でしょうね。
>●「Delivery Failedメール」には発信時のヘッダが残っていますので、
そのアドレスはWimaxで接続した時の自分のIPではない…ということでいいんですかね?
となると、SMTP認証のパスワードが何らかで漏れて、そのIPアドレスから送信された…という可能性がありますが。
# 接続元が偽装されている可能性もありますので、その辺りはヘッダの見方などで確認してください。
>唯一気がついた点は「Checking `z2'... user XXXX deleted or never logged from lastlog!」だけで、/var/log/lastlogが更新されていない点です。
lastコマンドで遡って確認…でしょうか。
lastbコマンドで確認もありっぽいですけど。
lastコマンドで問題発生以前の日のログイン記録が見られない。とかだと、/var/log/wtmpが削除なりされた…と考えられるかと。
# logrotateとかで/var/log/wtmp.1とかのバックアップが作成されている場合もあるので、ある程度の記録は見られるかと。
# 削除されていた…となるとroot盗られた可能性もあるのかなぁ…。
ググった範囲では、ubuntuだとコンソールからログインしないとlastlogが更新されない。
みたいのがありましたが…Debianではそうではないっぽいので……。
度々のご助言をこころより感謝します。
●...SMTP認証はされた、と考えるの.....
そのとおりだと思いますが、もう一度niftyに確認してみます。
●...そのアドレスはWimaxで接続した時の自分のIPではない…
これまでそうしたことがありません(webメール専門)、今日始めて会社PCでSMTP接続をやったところです。いずれにしても「そのアドレス」は大阪に有るらしく、niftyとは関係ないようです。これについてももう一度niftyに確認します。
●自宅PCの/var/logをコピーして持ってきております。
$last -f ./wtmp
ACCOUNT tty7 :0 Mon Apr 16 20:19 - 07:28 (11:08)
reboot system boot 4.9.0-6-amd64 Mon Apr 16 20:16 - 07:28 (11:12)
ACCOUNT tty7 :0 Fri Apr 13 20:02 - down (2+11:31)
reboot system boot 4.9.0-6-amd64 Fri Apr 13 20:01 - 07:34 (2+11:32)
$lastb -f ./btmp
-ACCOUNT tty7 :0 Fri Mar 23 18:28 - 18:28 (00:00)
-ACCOUNT tty7 :0 Fri Mar 23 18:28 - 18:28 (00:00)
-ACCOUNT tty7 :0 Fri Mar 23 18:28 - 18:28 (00:00)
これ以後の調査として、次の様に考えています。
1)自宅PCのウィルスチェックをもう少しチマチマやる。
2)ISPにネチネチと聞く。
お考えがあればお聞かせください。結果をご報告致します。
No.5
- 回答日時:
>但し、最初の問い合わせに書きましたとおり、「受信フォルダ」に大量の"delivery failureメール"が残されたままであることから推測しました。
送信の証拠だけ削除した。という可能性もあるかと思われます。
まぁ、こちらはWebメールのID/PASSがクラックされた。という前提ですが。
>関係するファイル"/var/log/lastlog"は実態はありましたが、11月21日より更新されていない様でした。
バイナリファイルでしたかねぇ…。
テキストファイルなら編集した上でタイムスタンプを書き換えている可能性もあります。
# root盗られていたら…です。(で、root盗られていると他の機器にログを取るようにしていない限りは証拠隠滅されていることになります)
>自らのアカウントを作成したくらいで、完全にデフォルトです。
sshはパスワード認証のまま…ということでしょうか。
ルータで外部からのssh接続を許可している状態だとすると、そこから侵入された可能性もあるかも知れません。
/var/log/auto.logの確認が必要でしょうか。
(もちろんroot盗られていない前提)
パスワード認証で失敗したログが残っている場合があります。
sshを標準ポート&パスワード認証にしているとブルートフォースアタック受けますのでご注意を。
# ウチでは外部からの接続は待ち受けポート番号変更と公開鍵認証にしています。(内部からはパスワード認証有効にしているので、入られた終わりなんですが)
で、パスワード認証が通った場合、クライアントとしても使用しているようですからFirefoxの情報を盗まれた…となった場合に、WebメールのIDとPassも漏れた可能性が出てきます。
# ブラウザにパスワードの記憶をしている/オートコンプリート有効にしている場合。
こっちの場合はroot取れなくてもいいわけで、auth.logに痕跡が残っているかも知れません。
# 外部からrootkit導入してroot盗った上で痕跡が消された可能性ももちろんありますが。
ログが編集されたかどうか?に関してはtripwireとか導入していると判別できる場合があるのですが…。
# とはいえ、チェック間隔によっては無理だったりしますけど。
ルータ側で接続要求を転送した。というログが残っている場合はLinuxPCが乗っ取られていても無事に残っている可能性が高くなります。
# クライアントとしてルータの管理ページにアクセスしてログ消去されると残りませんが。
メールサーバ側に残っている接続元IPがどうなっているのか…の情報待ちかも知れませんね。
# Delivery failureメールのメールヘッダにIP残っていませんかねぇ……。
詳細なご説明をいただきありがとうございます。以下の様に確認しました。
●niftyはwebメールのログイン履歴を公開しています。それによると多くの「Delivery Failedメール」を受け取った4/13 - 16はログインしておりません。それ故、webメールの乗っ取りは除外してよいのではないかと思われます。
●自宅PCに対してchkrootkit-0.52(最新版)を実行してみました。
唯一気がついた点は「Checking `z2'... user XXXX deleted or never logged from lastlog!」だけで、/var/log/lastlogが更新されていない点です。
●自宅PCの/var/log/auth.logを全て(3/19日以降)確認しました。会社PCで試してみた:
XXXXX su[11455]: FAILED su for root by ACCOUNT
XXXXX sshd[13062]: Failed password for ACCOUNT from IP_AD port 49846 ssh2
XXXXX sshd[13062]: Accepted password for ACCOUNT from IP_AD port 49846 ssh2
XXXXX login[844]: FAILED LOGIN (1) on '/dev/tty1' FOR 'ACCOUNT', Authentication failure
等の例がないか探したのですが、不審な点は一つも見つかりませんでした。そもそもsshd/telnet/ftpd項がありません。
●ルータのログはPC等への転送機能を利用しておらず、都度電源を落としているため望めません。
●「Delivery Failedメール」には発信時のヘッダが残っていますので、「https://abuse.aguse.jp/」で確認すると、確認した全てが発信元「153.14XX.X9.252 153-14X-XX9-252.compute.jp-w1.clouXXXXXvice.com」となります。試みに会社PCのメーラソフトからnifty経由で発信すると、発信元は当然会社IPアドレスとなりました。
どの様に判断すべきとお考えですか。
No.4
- 回答日時:
>webメール経由でメールが発信された場合、通常は「発信済み」フォルダにメールが置かれていると思うのですが、空っぽでした。
手動操作で削除はできない。
という前提なんでしょうか?
●手動操作で削除...という前提...
いいえ。手動操作で削除できます。
但し、最初の問い合わせに書きましたとおり、「受信フォルダ」に大量の"delivery failureメール"が残されたままであることから推測しました。
昨夜、自宅環境を調べたところ、"lastlog"コマンドでは、全てのアカウントが「一度もログインしていません」と出ました(会社環境とは異なります)。関係するファイル"/var/log/lastlog"は実態はありましたが、11月21日より更新されていない様でした。
今後、「rootkit検出ツール」なるものを試したらどうかと考えています。他に案があればどうぞご助言ください。
No.3
- 回答日時:
>自宅環境ですので、前述のとおりルータから先にはLinuxPCが一台あるだけです。
Linuxをクライアントとしても使用している。
ってことですかね?
サーバに使っては居ますが、クライアントはWindowsPCでやってますねぇ…。
多段ルータ状態っぽいですから、Debianまでやられたとは考えにくいですが…
sshやtelnet、Webサーバのログとか確認でしょうかね。
rootまで盗られてログの痕跡消されていたらどうにもなりませんが。
というか、普通にデフォルトの設定ならそうそうクラックはされないはずですけど、ユルく設定したところに心当たりはないんですか?
外部から接続できるようにしているサーバとか。
# WebサーバとWebアプリ(WordPressとか?)で、セキュリティ対策足りていないものとか。
# まぁWordPressとかphpadminとかデフォルトだったら穴になるかも知れませんけども。
maillogは内部にメールサーバ立てていないとあまり意味がないですよ。
sendmailコマンドとかで送信された…という可能性はゼロではありませんが、NiftyはSMTP認証とかしていないんでしょうか?
ご連絡ありがとうございます。
実は同じLinuxPCが会社にもあります。どちらも自らインストール/アップグレードしているため「自宅で調べた結果を会社環境と比較してみよう」が私の目論見です。
●クライアントとしても使用している...ってことですかね?
そのとおりです。
●ユルく設定したところに心当たりは....
特に自宅環境はインストール後、自らのアカウントを作成したくらいで、完全にデフォルトです。
No.2
- 回答日時:
あなたのコンピュータが乗っ取られたのではなく、メールアカウントが乗っ取られたのならば、メールアカウントのパスワードなどを変更すればいいのではないでしょうか。
プロバイダは、あなたのコンピュータ(というかあなたの通信経路)からメール送信されたと言っているのですか?
No.1
- 回答日時:
>尚、通信環境は次のとおりです。
>Debian GNU/Linux 9.4 (stretch)->ルータ->Wimax->nifty
で、グローバルIPが振られているのはどこまでです?
Wimaxの辺りでプライベートIPになっているような気がしますけど。
# その場合、ルータの内側に居るLinuxまで攻撃を通すのはなかなか難しいかと。
>常にプロバイダのwebメールを使用しております。
こっちがクラックされた(パスワードがばれた)とかの方がありそうな感じですけどねぇ…。
# それならそれで、Webサーバに接続してきたIPアドレスが記録されている筈ですが。
# (が、いち利用者からの申請で接続元IPアドレスのリストを出してくれるのかは不明)
>パソコンを乗っ取られスパムメール発信の踏み台にされているようです。
ならば、Linuxではなくクライアントとして使用しているであろうWindowsPCとかになんか侵入されたと考える方が自然かと。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
LINE TCBというところからLINE...
-
ユニクロやGUのシフト管理アプ...
-
Excelのセルにユーザー名...
-
iPhoneのiCloudメールなよです...
-
インスタの乗っ取り解除につい...
-
インスタの捨て垢で友達のスト...
-
メールアドレスで上付きのハイフン
-
YouTubeが毎回ログインしないと...
-
存在しないアドレスにメールを...
-
インターネットカフェでCD書き...
-
「@」(アットマーク)の無いメ...
-
星の王子さまというアプリで、 ...
-
メールアドレスを人に教えるの...
-
突然ですが、レぺ狂とは何です...
-
CSVファイルを添付するときにパ...
-
彼女のインスタのアカウントを...
-
「そのメールアドレスはすでに...
-
携帯電話を解約してもSMSの受信...
-
解約済みの iPadについて 解約...
-
メールを返信したら、英語のメ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ユニクロやGUのシフト管理アプ...
-
Excelのセルにユーザー名...
-
iPhoneのiCloudメールなよです...
-
YouTubeが毎回ログインしないと...
-
LINE TCBというところからLINE...
-
インスタの捨て垢で友達のスト...
-
「@」(アットマーク)の無いメ...
-
インスタの乗っ取り解除につい...
-
メールアドレスで上付きのハイフン
-
メールのマナー編
-
メールを返信したら、英語のメ...
-
携帯電話を解約してもSMSの受信...
-
メールアドレス 上バーの入力...
-
存在しないアドレスにメールを...
-
メールアドレスを人に教えるの...
-
verify@twitter.comから、メー...
-
CSVファイルを添付するときにパ...
-
YahooIDをパスワード形式にした...
-
「そのメールアドレスはすでに...
-
星の王子さまというアプリで、 ...
おすすめ情報
早速ご回答ありがとうございます。
●グローバルIPが振られているのはどこまで....
おっしゃるとおり、ルータの前後でグローバル/プライベートアドレスを分けています。
●プロバイダのwebメール...こっちがクラックされた(パスワードがばれた)とかの方が...
webメールパスワードが漏れ、webメール経由でメールが発信された場合、通常は「発信済み」フォルダにメールが置かれていると思うのですが、空っぽでした。
●ならば、Linuxではなくクライアントとして使用しているであろうWindowsPCとかに....
ごめんなさい。少し意味が判りません。自宅環境ですので、前述のとおりルータから先にはLinuxPCが一台あるだけです。
ご連絡ありがとうございます。
●メールアカウントが乗っ取られたのならば、メールアカウントのパスワードなどを.....
はい。既にプロバイダに対するパスワードは変更済みです。
●プロバイダは、あなたのコンピュータ(というかあなたの通信経路)からメール送信された...
『【回答】お客様のメールご利用記録をお調べいたしましたところ、大量にメールが送信
されている記録があることを確認いたしました。』
と、言われております。
おっしゃるとおり、メールが何処から(どのPCから)発信されたのか聞いてみたいと思います。