ウォッチ
FreeBSD5.3でApache2.2,最新のOpensslで管理しているウェブサーバがあり,そのサーバ上でウェブサーバを構築していたのですが,この度,ウェブページの改竄の被害に合いました.
どういった経路で改竄されたかを調べるために/var/log/ にあるログを見たのですが,思い当たるようなログが残っていませんでした.
考えられる方法としては,
1.ウェブ編集の初心者向けにftpのポートを空けていたので,そちらのパスワードをクラックされた(→ftpdに関するログ)
2.sshが破られてrootのパスワードが盗まれた
等があると思いますが,ftpdのログや,lastlogin,およびhistoryの情報,/var/log/messages の情報等にそれらに該当するようなアクセス等は残っていませんでした.
クラック用のツールとして rootkit 等があるようですが,それらで関連するログも全て削除されているのか,どういった経路で改竄が行われたかを調べるための方法が分かりません.
サーバ上にはXoopsのページがあり,そちらからのアクセスも怪しいかなとは思ったのですが,Apacheに関するアクセスログやエラーログからもこれといった情報は得られませんでした.
対策としては,パケットフィルタリングを行いアクセスを制限することにし,ssh以外のアクセスを排除することにしたので,大体の不正アクセスは防げると思いますが,今後こういった現象を防ぐための勉強として,改竄の手口,およびこういった場合の進入手口に心当たりがあれば,ご教授よろしくお願いします.
No.1ベストアンサー
- 回答日時:
FreeBSDは知りませんが…
>2.sshが破られてrootのパスワードが盗まれた
sshでパスワード認証。しかもrootログイン可。
という設定であれば、こちらが怪しいでしょう。
root権限があればログの改竄だって思いのままです。
痕跡消していくくらいのことはするでしょう。
もっとも、そういう処理をした上でバックドア作っていくスクリプトくらいありそうですが。
chkrootkitで仕込まれていないか確認した方がよろしいかと。
psコマンドやらnetstatコマンドやらでバッグドアのプロセスを隠蔽している可能性もありますし。
ご存じだとは思いますが、ftpは生パスワードがネットワーク上を流れます。
パケット盗聴されていたら即アウトです。
サーバソフトとクライアントが対応しているならばSSL通信で保護した方がよいでしょう。
sshのscp等の方法もありますが。
sshは公開鍵認証にしておいた方がいいです。
(接続可能なユーザーを制限するというのもありかと)
-
-
- 0
- 件
-
chkrootkit というのが存在するのですね.sshの方が破られた可能性が高いので,一度試してみます.
ありがとうございました.
No.2
- 回答日時:
ftpのパスワードが漏れた程度ではログを消すことはできないはずです。
またFreeBSD5.3はかなり古いですがwebとssh以外はサービスを提供して
なかったんですか?pop3とかimap、dnsなど・・色々な可能性があり
すぎて一言では絞り込む方法は説明しきれませんが・・・
5.3でパッチレベル0だとすると二年前のzlibの問題とかも残っている
んじゃないでしょうか。その場合低いユーザー権限でもコマンドが
実行できればroot権限を奪取された可能性はあると思います。
●なんらかの痕跡を探す
ある程度できるクラッカーなら痕跡を残さないと思いますが、
/devの下で file * とかしてみてテキストファイルとかあれば
アウトですよね(昔よくあったrootkit)
あとバッファオーバーフローの場合はログなんか残るはずないです。
(プロセスは異常終了しているわけですから)もしかしたら/とか
apacheのホームにcoreが残ってないか調べてください。まぬけな
クラッカーなら残っているかもしれません。
またFreeBSD5.3のCDと比べて、ps,netstat,lsなどが置き換え
られてないか調べるのも情報を得られる可能性があると思います。
●今後
FreeBSD5.3をcvsupで最新版までパッチレベルを上げてください。
サーバプロセス(bindとかapacheとか)も同様です。
アプリケーション(xoopsなど)も同じです。
まあ、僕なら念のため再インストールしますが・・・・
-
-
- 0
- 件
-
pop等は利用していなかったので,問題になるのはwebとsshあたりになると思います.
portaudit&portupgradeにて,セキュリティに関するパッチはいろいろ当てていたので,zlibの問題は大丈夫かと思います.
apacheのログあたりは参考になりそうですね.xoopsも怪しい気がしますのでそこら辺も調べてみます.
なんにせよ,再インストールが確実ですね^^.
いろいろご教授ありがとうございます.
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 法学 不正アクセス禁止法の扱いについて 4 2022/03/23 18:13
- サーバー FTPサーバについて詳しい方(アクセス権のないディレクトリを非表示にする方法) 4 2022/08/22 22:33
- フリーソフト 色々な形式の個人情報を後で参照しやすいようWindow10で管理したいのですが、どんな方法があるの? 1 2023/04/29 16:46
- SSL・HTTPS httpとhttpsの安全性のちがいについておしえてください 3 2022/11/18 22:51
- 戸籍・住民票・身分証明書 マイナンバーカードの問題点? 4 2022/11/10 16:32
- その他(パソコン・スマホ・電化製品) とある情報が知りたく、検索して表示されたリンクをクリックしてページを見て、そこに知りたい情報の説明の 3 2022/11/26 18:55
- 消費者問題・詐欺 フィッシング詐欺メールに返信してしまった場合の対処法 3 2023/06/25 18:35
- Google Drive グーグルドライブの共有の設定がうまくできません 1 2022/11/28 00:44
- その他(クラウドサービス・オンラインストレージ) 個人情報保護の件 1 2023/05/18 12:19
- 事件・犯罪 他人のスマホの閲覧履歴などの情報をクラッキングまたはアプリ等で盗んで見ていた人を訴える方法はあります 1 2022/11/02 12:08
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
TeraTermのログが正しく取得出...
-
USBを刺した記録を消す方法
-
Webで重い処理をするとリクエス...
-
詳細なログが出力できるルータ...
-
フォルダを移動した犯人は誰?
-
アドレスの前にwwwの他にw...
-
日付と時刻を勝手に戻らせない...
-
Symantec オフライン
-
curl実行結果が404で戻ってきて...
-
インターネット時刻にあわせら...
-
p2p型とc/s型の違い
-
ファイルサーバとFTPサーバの違...
-
メールソフトの互換性について(...
-
SSLのページでも、引数の直接渡...
-
異なるセグメントのドメインコ...
-
NTPで同期が始まらない
-
ドメイン環境でのサーバとクラ...
-
WinSCP 接続がタイムアウトさ...
-
ドメインコントローラー冗長化
-
Apacheのリバースプロキシ利用...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
フォルダを移動した犯人は誰?
-
TeraTermのログが正しく取得出...
-
IISのログに出力される「GET」...
-
外付けHDDへのアクセスログを取...
-
ログとダンプの違いって・・・
-
フォルダを作成した人 or IP...
-
Webで重い処理をするとリクエス...
-
Windowsのシステムログをsyslog...
-
sendmailで遅延が発生したとき...
-
Cosminexusのログエージェント...
-
Apache アクセスログ 不審な足跡
-
Winでいうイベントビューアって...
-
ログハウスとかで木の壁を作る際
-
CISCOのログメッセージ
-
WIN2000 IIS ADSL アクセス...
-
NW機器のログ監視
-
固定ではないはずなのにIPアド...
-
iPhoneのGPSログを確認する方法
-
PC操作ログを取得されているか...
-
アクセスログを取る方法
おすすめ情報
