自社でCentOSサーバを30台ほど運用しています。
サーバの主な用途はhttpdとmysqldで、ネットワーク設定以外は全台同じ設定です。
サーバの設置場所は一箇所ではなく、
事業所Aに10台
事業所Bに15台
事業所Cに5台
といった状況です。
先日、この30台が同時刻に一斉にダウンし、起動できなくなりました。
起動できない原因は、カーネルファイルの消失です。
レスキューモードで起動しましたが、ざっと見た限りで以下のディレクトリやサービスが消失していました。
/root/
/home/
/etc/sysconfig/
httpd
mysqld
その他ログファイル全て
このような事態は、偶然で起こり得るものでしょうか?
または、悪意のある何者かに攻撃されたと考えるべきでしょうか?
ちなみに、このサーバ全台を1人で構築したシステム担当者が、先月あまり円満とはいえない形で退職しました。
皆様のご意見をお聞かせ頂ければ幸いです、よろしくお願いいたします。
No.4ベストアンサー
- 回答日時:
さまざまな角度から検討すべきと思いますが、30台に一斉に操作する業務がらみの自動処理がないのであれば、攻撃の可能性は高いと推測できますね。
偶然だの操作ミスだのという次元の現象とはとても思えません。
内部か外部かを判断する貴重な資料になりますので、外部との接続点にあるルーターやファイアーウォールなどのログを全て、保全するのが急務ですね。ほっておくと過去の物からどんどん消えていきますからね。
複数の事業所に、これだけのサーバーがあると言うことは、割合大きなネットワークでしょうから、中間点にもルーターか、それに類する物があると推測します。これに関しても、ログを取る機能が備わっているなら、全て保全しましょう。
ログファイルが消失しているのが痛いですが、本当に究明したいなら、今のサーバーのHDDにはこれ以上、一切の書き込みをせずに、専門家に解析を依頼するべきでしょう。データの痕跡が残っている可能性があります。運が良ければ、まだDELをかけただけの状態で簡単にファイルが復元できる状態である可能性も高いです。
ログファイル等の復元ができれば、調査の幅が大幅に広がります。
私が仕掛けるなら・・・退職時に最後の置き土産で、時限爆弾プログラムを仕掛けていくかな。バックドアをおいていっても良いですけど、ネットワークに消しがたい証拠が残るのがシャクですから。
まぁ、そんな推測をしても、なんの役にも立ちません。
威力業務妨害で、素直に警察の手を借りることも考慮に入れた方が良いかと思います。(これだけのサーバーをこかされたら、損害もタダじゃ済んでないでしょうし。ちゃんと犯人を突き止めておけば、損害賠償請求の道も選択肢としてありますから。)
ご回答頂きありがとうございます。全台に一斉に操作するといった処理はありませんので、やはり内部操作ミスの可能性は低いですね…。ご指摘頂いたように残っているルーターのログやサーバHDDの現状維持が重要という事が理解できましたので、まずは情報の保全に努めたいと思います。ありがとうございました。
No.3
- 回答日時:
> このような事態は、偶然で起こり得るものでしょうか?
>
> または、悪意のある何者かに攻撃されたと考えるべきでしょうか?
8ヶ月ほど前にも、かなり派手なサーバ・データの消失事故がありましたね。
これは過失でしたが。
参考URL:http://www.nikkei.com/article/DGXNASFK2600L_W2A6 …
ご回答頂きありがとうございます。ダウンした時間帯などから考慮すると内部社員からの操作ミスの可能性は低いのですが、0%ではありませんので調査してみようと思います。ありがとうございました。
No.2
- 回答日時:
元サーバ管理者として・・・
普通に考えて、30台の全てのサーバで同じファイルがなくなるなどの事象は故意でなければ発生しないと思います。
>ちなみに、このサーバ全台を1人で構築したシステム担当者が、
>先月あまり円満とはいえない形で退職しました。
予断はいけないですが・・・検討すべき要因と思います。
私が管理者なら、警察などに捜査を以来すべき事態と判断します。
>または、悪意のある何者かに攻撃されたと考えるべきでしょうか?
外部の攻撃よりは、内部(退職した人など)の確率が高いと思います。
ご回答頂きありがとうございます。やはり全くの偶然とは考えられないですよね…通報も視野に入れ調査してみます、ありがとうございました。
No.1
- 回答日時:
色々な状況を考えるべきでしょう。
外部からの攻撃もないとは言えないでしょうし、内部に不正にログインしてある時刻に削除するようにされたか、事前に色々仕組まれていた可能性もあります。誰かが操作ミスした可能性もあります。
サーバといいますが、社内公開サーバですか?だとしたら外部(インターネット外)というのはどうでしょうね。VPNで外部から誰かがログインしたとか?
先入観なしで色々と情報収集し、それからの判断でも良いのでは?
ご回答頂きありがとうございます。サービスは外部公開でsshによるリモートも可能ですが、rootパスワードを変更したサーバも同様の事態に陥っていますので事前に仕組まれていたかも知れません…。色々な可能性を考慮して調査してみます、ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・14歳の自分に衝撃の事実を告げてください
- ・架空の映画のネタバレレビュー
- ・「お昼の放送」の思い出
- ・昨日見た夢を教えて下さい
- ・ちょっと先の未来クイズ第4問
- ・【大喜利】【投稿~10/21(月)】買ったばかりの自転車を分解してひと言
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・ハマっている「お菓子」を教えて!
- ・最近、いつ泣きましたか?
- ・夏が終わったと感じる瞬間って、どんな時?
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・都道府県穴埋めゲーム
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
DNSサーバを設定したのですがns...
-
”Tortoise SVN” と ”Subversio...
-
「DNSサーバーを自動的に取得す...
-
同じ独自ドメインを2つのサーバ...
-
windowPE(ghost)のネットワーク...
-
ワークグループ設定のPCの名前解決
-
サーバーというのとメインフレ...
-
POPサーバのSTONEでのSSL化
-
ntpサーバの置き方
-
gitとgiteaの違いについて
-
LinuxからWindowsのbatファイル...
-
サーバとしてのCPUの選定
-
複数IPアドレスによるサーバ運...
-
HULFTのコード変換について
-
pingは通るけどサーバに繋がら...
-
ラックマウント形サーバとタワ...
-
FTPサーバの構成について
-
WSUSでクライアントが認識されない
-
apacheでの名前解決
-
オンラインゲームなどプレイ時...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
「DNSサーバーを自動的に取得す...
-
”Tortoise SVN” と ”Subversio...
-
同じ独自ドメインを2つのサーバ...
-
DNSサーバを設定したのですがns...
-
ワークグループ設定のPCの名前解決
-
サーバーというのとメインフレ...
-
プロキシサーバとDNSサーバにつ...
-
LinuxからWindowsのbatファイル...
-
gitとgiteaの違いについて
-
pingは通るけどサーバに繋がら...
-
複数IPアドレスによるサーバ運...
-
APバッチサーバとWebAPサ...
-
サーバルームの空気を換気したい
-
社内でプロキシサーバ(Squid)の...
-
windowPE(ghost)のネットワーク...
-
ntpサーバの置き方
-
FTPサーバの構成について
-
Mail Distributorの使い方を教...
-
Microsoft Outlookの受信日時が...
-
NFSクライアントでlockdがハン...
おすすめ情報