自社サーバが一斉に攻撃を受けた？

自社でCentOSサーバを30台ほど運用しています。

サーバの主な用途はhttpdとmysqldで、ネットワーク設定以外は全台同じ設定です。

サーバの設置場所は一箇所ではなく、

事業所Aに10台
事業所Bに15台
事業所Cに5台

といった状況です。

先日、この30台が同時刻に一斉にダウンし、起動できなくなりました。

起動できない原因は、カーネルファイルの消失です。

レスキューモードで起動しましたが、ざっと見た限りで以下のディレクトリやサービスが消失していました。

/root/
/home/
/etc/sysconfig/
httpd
mysqld
その他ログファイル全て

このような事態は、偶然で起こり得るものでしょうか？

または、悪意のある何者かに攻撃されたと考えるべきでしょうか？

ちなみに、このサーバ全台を1人で構築したシステム担当者が、先月あまり円満とはいえない形で退職しました。

皆様のご意見をお聞かせ頂ければ幸いです、よろしくお願いいたします。

No.4 ベストアンサー 回答者： mitoneko 回答日時： 2013/02/14 22:00

　さまざまな角度から検討すべきと思いますが、３０台に一斉に操作する業務がらみの自動処理がないのであれば、攻撃の可能性は高いと推測できますね。

　偶然だの操作ミスだのという次元の現象とはとても思えません。

　内部か外部かを判断する貴重な資料になりますので、外部との接続点にあるルーターやファイアーウォールなどのログを全て、保全するのが急務ですね。ほっておくと過去の物からどんどん消えていきますからね。
　複数の事業所に、これだけのサーバーがあると言うことは、割合大きなネットワークでしょうから、中間点にもルーターか、それに類する物があると推測します。これに関しても、ログを取る機能が備わっているなら、全て保全しましょう。

　ログファイルが消失しているのが痛いですが、本当に究明したいなら、今のサーバーのＨＤＤにはこれ以上、一切の書き込みをせずに、専門家に解析を依頼するべきでしょう。データの痕跡が残っている可能性があります。運が良ければ、まだＤＥＬをかけただけの状態で簡単にファイルが復元できる状態である可能性も高いです。
　ログファイル等の復元ができれば、調査の幅が大幅に広がります。

　私が仕掛けるなら・・・退職時に最後の置き土産で、時限爆弾プログラムを仕掛けていくかな。バックドアをおいていっても良いですけど、ネットワークに消しがたい証拠が残るのがシャクですから。
　
　まぁ、そんな推測をしても、なんの役にも立ちません。
　威力業務妨害で、素直に警察の手を借りることも考慮に入れた方が良いかと思います。（これだけのサーバーをこかされたら、損害もタダじゃ済んでないでしょうし。ちゃんと犯人を突き止めておけば、損害賠償請求の道も選択肢としてありますから。）

この回答へのお礼

ご回答頂きありがとうございます。全台に一斉に操作するといった処理はありませんので、やはり内部操作ミスの可能性は低いですね…。ご指摘頂いたように残っているルーターのログやサーバHDDの現状維持が重要という事が理解できましたので、まずは情報の保全に努めたいと思います。ありがとうございました。

お礼日時：2013/02/14 23:03

No.3 回答者： ulisrt 回答日時： 2013/02/14 21:21

> このような事態は、偶然で起こり得るものでしょうか？

>
> または、悪意のある何者かに攻撃されたと考えるべきでしょうか？

8ヶ月ほど前にも、かなり派手なサーバ・データの消失事故がありましたね。
これは過失でしたが。

参考URL：http://www.nikkei.com/article/DGXNASFK2600L_W2A6 …

この回答へのお礼

ご回答頂きありがとうございます。ダウンした時間帯などから考慮すると内部社員からの操作ミスの可能性は低いのですが、0％ではありませんので調査してみようと思います。ありがとうございました。

お礼日時：2013/02/14 22:41

No.2 回答者： gtx456gtx 回答日時： 2013/02/14 20:43

元サーバ管理者として・・・

普通に考えて、３０台の全てのサーバで同じファイルがなくなるなどの事象は故意でなければ発生しないと思います。

>ちなみに、このサーバ全台を1人で構築したシステム担当者が、
>先月あまり円満とはいえない形で退職しました。
予断はいけないですが・・・検討すべき要因と思います。
私が管理者なら、警察などに捜査を以来すべき事態と判断します。


>または、悪意のある何者かに攻撃されたと考えるべきでしょうか？
外部の攻撃よりは、内部(退職した人など)の確率が高いと思います。

この回答へのお礼

ご回答頂きありがとうございます。やはり全くの偶然とは考えられないですよね…通報も視野に入れ調査してみます、ありがとうございました。

お礼日時：2013/02/14 21:04

No.1 回答者： ok-kaneto 回答日時： 2013/02/14 20:36

色々な状況を考えるべきでしょう。

外部からの攻撃もないとは言えないでしょうし、内部に不正にログインしてある時刻に削除するようにされたか、事前に色々仕組まれていた可能性もあります。誰かが操作ミスした可能性もあります。


サーバといいますが、社内公開サーバですか？だとしたら外部(インターネット外)というのはどうでしょうね。VPNで外部から誰かがログインしたとか？

先入観なしで色々と情報収集し、それからの判断でも良いのでは？

この回答へのお礼

ご回答頂きありがとうございます。サービスは外部公開でsshによるリモートも可能ですが、rootパスワードを変更したサーバも同様の事態に陥っていますので事前に仕組まれていたかも知れません…。色々な可能性を考慮して調査してみます、ありがとうございました。

お礼日時：2013/02/14 20:57