Debian GNU/Linux 9.4 (stretch)が乗っ取られたようです

4/13(金) 18:00 - 4/16(月) 6:00 の間に、私のメールアカウントに多量の「Delivery failure」メールが入っていることに気づきました。プロバイダに確認したところ、私のアカウントから多量のメールが発信されているそうです。もちろん、私自身が打ったメールではありません。
どうやら、パソコンを乗っ取られスパムメール発信の踏み台にされているようです。

そこで、今日からネットワークを遮断した上で、侵入経路や被害状況を確認したいのですが、ご助言をお願い致します。
私自身はLinux素人のため:

●last
●lastlog
●/var/mail/メールログファイル

程度しか調べられませんでした。その他、調査に有用なコマンドや手順がありましたらお教えください。

尚、通信環境は次のとおりです。

Debian GNU/Linux 9.4 (stretch)->ルータ->Wimax->nifty

さらに、メールの発/受信に、所謂メーラソフトは使用しておりません。常にプロバイダのwebメールを使用しております。

質問者からの補足コメント

• 

  早速ご回答ありがとうございます。
  
  ●グローバルIPが振られているのはどこまで....
  おっしゃるとおり、ルータの前後でグローバル/プライベートアドレスを分けています。
  
  ●プロバイダのwebメール...こっちがクラックされた(パスワードがばれた)とかの方が...
  webメールパスワードが漏れ、webメール経由でメールが発信された場合、通常は「発信済み」フォルダにメールが置かれていると思うのですが、空っぽでした。
  
  ●ならば、Linuxではなくクライアントとして使用しているであろうWindowsPCとかに....
  ごめんなさい。少し意味が判りません。自宅環境ですので、前述のとおりルータから先にはLinuxPCが一台あるだけです。

  No.1の回答に寄せられた補足コメントです。 補足日時：2018/04/16 17:56

• 

  ご連絡ありがとうございます。
  
  ●メールアカウントが乗っ取られたのならば、メールアカウントのパスワードなどを.....
  はい。既にプロバイダに対するパスワードは変更済みです。
  
  ●プロバイダは、あなたのコンピュータ（というかあなたの通信経路）からメール送信された...
  『【回答】お客様のメールご利用記録をお調べいたしましたところ、大量にメールが送信
  されている記録があることを確認いたしました。』
  と、言われております。
  おっしゃるとおり、メールが何処から(どのPCから)発信されたのか聞いてみたいと思います。

  No.2の回答に寄せられた補足コメントです。 補足日時：2018/04/16 18:05

No.6 ベストアンサー 回答者： Wr5 回答日時： 2018/04/18 12:36

>それによると多くの「Delivery Failedメール」を受け取った4/13 - 16はログインしておりません。

それ故、webメールの乗っ取りは除外してよいのではないかと思われます。

Webメール経由での送信はない。
と判断してよいかと。

しかし…
>『【回答】お客様のメールご利用記録をお調べいたしましたところ、大量にメールが送信
>されている記録があることを確認いたしました。』
>と、言われております。
なので、SMTP認証はされた。
と考えるのが妥当でしょうね。


>●「Delivery Failedメール」には発信時のヘッダが残っていますので、

そのアドレスはWimaxで接続した時の自分のIPではない…ということでいいんですかね？
となると、SMTP認証のパスワードが何らかで漏れて、そのIPアドレスから送信された…という可能性がありますが。
# 接続元が偽装されている可能性もありますので、その辺りはヘッダの見方などで確認してください。


>唯一気がついた点は「Checking `z2'... user XXXX deleted or never logged from lastlog!」だけで、/var/log/lastlogが更新されていない点です。

lastコマンドで遡って確認…でしょうか。
lastbコマンドで確認もありっぽいですけど。
lastコマンドで問題発生以前の日のログイン記録が見られない。とかだと、/var/log/wtmpが削除なりされた…と考えられるかと。
# logrotateとかで/var/log/wtmp.1とかのバックアップが作成されている場合もあるので、ある程度の記録は見られるかと。
# 削除されていた…となるとroot盗られた可能性もあるのかなぁ…。

ググった範囲では、ubuntuだとコンソールからログインしないとlastlogが更新されない。
みたいのがありましたが…Debianではそうではないっぽいので……。

この回答へのお礼

度々のご助言をこころより感謝します。

●...SMTP認証はされた、と考えるの.....
そのとおりだと思いますが、もう一度niftyに確認してみます。

●...そのアドレスはWimaxで接続した時の自分のIPではない…
これまでそうしたことがありません(webメール専門)、今日始めて会社PCでSMTP接続をやったところです。いずれにしても「そのアドレス」は大阪に有るらしく、niftyとは関係ないようです。これについてももう一度niftyに確認します。

●自宅PCの/var/logをコピーして持ってきております。
$last -f ./wtmp
ACCOUNT tty7 :0 Mon Apr 16 20:19 - 07:28 (11:08)
reboot system boot 4.9.0-6-amd64 Mon Apr 16 20:16 - 07:28 (11:12)
ACCOUNT tty7 :0 Fri Apr 13 20:02 - down (2+11:31)
reboot system boot 4.9.0-6-amd64 Fri Apr 13 20:01 - 07:34 (2+11:32)

$lastb -f ./btmp
-ACCOUNT tty7 :0 Fri Mar 23 18:28 - 18:28 (00:00)
-ACCOUNT tty7 :0 Fri Mar 23 18:28 - 18:28 (00:00)
-ACCOUNT tty7 :0 Fri Mar 23 18:28 - 18:28 (00:00)

これ以後の調査として、次の様に考えています。
1)自宅PCのウィルスチェックをもう少しチマチマやる。
2)ISPにネチネチと聞く。

お考えがあればお聞かせください。結果をご報告致します。

お礼日時：2018/04/18 16:14

No.5 回答者： Wr5 回答日時： 2018/04/17 15:43

>但し、最初の問い合わせに書きましたとおり、「受信フォルダ」に大量の"delivery failureメール"が残されたままであることから推測しました。

送信の証拠だけ削除した。という可能性もあるかと思われます。
まぁ、こちらはWebメールのID/PASSがクラックされた。という前提ですが。

>関係するファイル"/var/log/lastlog"は実態はありましたが、11月21日より更新されていない様でした。

バイナリファイルでしたかねぇ…。
テキストファイルなら編集した上でタイムスタンプを書き換えている可能性もあります。
# root盗られていたら…です。(で、root盗られていると他の機器にログを取るようにしていない限りは証拠隠滅されていることになります)

>自らのアカウントを作成したくらいで、完全にデフォルトです。

sshはパスワード認証のまま…ということでしょうか。
ルータで外部からのssh接続を許可している状態だとすると、そこから侵入された可能性もあるかも知れません。
/var/log/auto.logの確認が必要でしょうか。
(もちろんroot盗られていない前提)
パスワード認証で失敗したログが残っている場合があります。
sshを標準ポート＆パスワード認証にしているとブルートフォースアタック受けますのでご注意を。
# ウチでは外部からの接続は待ち受けポート番号変更と公開鍵認証にしています。(内部からはパスワード認証有効にしているので、入られた終わりなんですが)


で、パスワード認証が通った場合、クライアントとしても使用しているようですからFirefoxの情報を盗まれた…となった場合に、WebメールのIDとPassも漏れた可能性が出てきます。
# ブラウザにパスワードの記憶をしている/オートコンプリート有効にしている場合。
こっちの場合はroot取れなくてもいいわけで、auth.logに痕跡が残っているかも知れません。
# 外部からrootkit導入してroot盗った上で痕跡が消された可能性ももちろんありますが。

ログが編集されたかどうか？に関してはtripwireとか導入していると判別できる場合があるのですが…。
# とはいえ、チェック間隔によっては無理だったりしますけど。

ルータ側で接続要求を転送した。というログが残っている場合はLinuxPCが乗っ取られていても無事に残っている可能性が高くなります。
# クライアントとしてルータの管理ページにアクセスしてログ消去されると残りませんが。

メールサーバ側に残っている接続元IPがどうなっているのか…の情報待ちかも知れませんね。
# Delivery failureメールのメールヘッダにIP残っていませんかねぇ……。

この回答へのお礼

詳細なご説明をいただきありがとうございます。以下の様に確認しました。

●niftyはwebメールのログイン履歴を公開しています。それによると多くの「Delivery Failedメール」を受け取った4/13 - 16はログインしておりません。それ故、webメールの乗っ取りは除外してよいのではないかと思われます。

●自宅PCに対してchkrootkit-0.52(最新版)を実行してみました。
唯一気がついた点は「Checking `z2'... user XXXX deleted or never logged from lastlog!」だけで、/var/log/lastlogが更新されていない点です。

●自宅PCの/var/log/auth.logを全て(3/19日以降)確認しました。会社PCで試してみた:
XXXXX su[11455]: FAILED su for root by ACCOUNT
XXXXX sshd[13062]: Failed password for ACCOUNT from IP_AD port 49846 ssh2
XXXXX sshd[13062]: Accepted password for ACCOUNT from IP_AD port 49846 ssh2
XXXXX login[844]: FAILED LOGIN (1) on '/dev/tty1' FOR 'ACCOUNT', Authentication failure
等の例がないか探したのですが、不審な点は一つも見つかりませんでした。そもそもsshd/telnet/ftpd項がありません。

●ルータのログはPC等への転送機能を利用しておらず、都度電源を落としているため望めません。

●「Delivery Failedメール」には発信時のヘッダが残っていますので、「https://abuse.aguse.jp/」で確認すると、確認した全てが発信元「153.14XX.X9.252 153-14X-XX9-252.compute.jp-w1.clouXXXXXvice.com」となります。試みに会社PCのメーラソフトからnifty経由で発信すると、発信元は当然会社IPアドレスとなりました。

どの様に判断すべきとお考えですか。

お礼日時：2018/04/18 11:08

No.4 回答者： Wr5 回答日時： 2018/04/16 21:22

>webメール経由でメールが発信された場合、通常は「発信済み」フォルダにメールが置かれていると思うのですが、空っぽでした。

手動操作で削除はできない。
という前提なんでしょうか？

この回答へのお礼

●手動操作で削除...という前提...
いいえ。手動操作で削除できます。
但し、最初の問い合わせに書きましたとおり、「受信フォルダ」に大量の"delivery failureメール"が残されたままであることから推測しました。

昨夜、自宅環境を調べたところ、"lastlog"コマンドでは、全てのアカウントが「一度もログインしていません」と出ました(会社環境とは異なります)。関係するファイル"/var/log/lastlog"は実態はありましたが、11月21日より更新されていない様でした。

今後、「rootkit検出ツール」なるものを試したらどうかと考えています。他に案があればどうぞご助言ください。

お礼日時：2018/04/17 12:52

No.3 回答者： Wr5 回答日時： 2018/04/16 19:25

>自宅環境ですので、前述のとおりルータから先にはLinuxPCが一台あるだけです。

Linuxをクライアントとしても使用している。
ってことですかね？

サーバに使っては居ますが、クライアントはWindowsPCでやってますねぇ…。


多段ルータ状態っぽいですから、Debianまでやられたとは考えにくいですが…
sshやtelnet、Webサーバのログとか確認でしょうかね。
rootまで盗られてログの痕跡消されていたらどうにもなりませんが。

というか、普通にデフォルトの設定ならそうそうクラックはされないはずですけど、ユルく設定したところに心当たりはないんですか？
外部から接続できるようにしているサーバとか。
# WebサーバとWebアプリ(WordPressとか？)で、セキュリティ対策足りていないものとか。
# まぁWordPressとかphpadminとかデフォルトだったら穴になるかも知れませんけども。

maillogは内部にメールサーバ立てていないとあまり意味がないですよ。
sendmailコマンドとかで送信された…という可能性はゼロではありませんが、NiftyはSMTP認証とかしていないんでしょうか？

この回答へのお礼

ご連絡ありがとうございます。

実は同じLinuxPCが会社にもあります。どちらも自らインストール/アップグレードしているため「自宅で調べた結果を会社環境と比較してみよう」が私の目論見です。

●クライアントとしても使用している...ってことですかね？
そのとおりです。

●ユルく設定したところに心当たりは....
特に自宅環境はインストール後、自らのアカウントを作成したくらいで、完全にデフォルトです。

お礼日時：2018/04/17 12:40

No.2 回答者： naktak 回答日時： 2018/04/16 17:44

あなたのコンピュータが乗っ取られたのではなく、メールアカウントが乗っ取られたのならば、メールアカウントのパスワードなどを変更すればいいのではないでしょうか。

プロバイダは、あなたのコンピュータ（というかあなたの通信経路）からメール送信されたと言っているのですか？

No.1 回答者： Wr5 回答日時： 2018/04/16 17:41

>尚、通信環境は次のとおりです。

>Debian GNU/Linux 9.4 (stretch)->ルータ->Wimax->nifty

で、グローバルIPが振られているのはどこまでです？
Wimaxの辺りでプライベートIPになっているような気がしますけど。
# その場合、ルータの内側に居るLinuxまで攻撃を通すのはなかなか難しいかと。

>常にプロバイダのwebメールを使用しております。

こっちがクラックされた(パスワードがばれた)とかの方がありそうな感じですけどねぇ…。
# それならそれで、Webサーバに接続してきたIPアドレスが記録されている筈ですが。
# (が、いち利用者からの申請で接続元IPアドレスのリストを出してくれるのかは不明)


>パソコンを乗っ取られスパムメール発信の踏み台にされているようです。

ならば、Linuxではなくクライアントとして使用しているであろうWindowsPCとかになんか侵入されたと考える方が自然かと。