踏み台

このスレッドはクローズされています。記事の閲覧のみとなります。

踏み台

æ¥æï¼ 2005/06/10 10:25
ååï¼ luckystrike

はじめまして本日「おたくのサーバを経由してSSH2で自分のサーバが攻撃されている。対応しなさい!」と言う旨のお叱りメールをいただきました。他の方に迷惑をかけているのが申し訳なく、早急に対応したいのですが、なにぶん初心者で、セキュリティの本を購入したのですがさっぱりわからずどこから手をつけてよいやら。 SSHは切ってみたのですが、これだけでは不十分なのでしょうか? 皆様お忙しいこととは思いますが、ご助言をいただけたらと思い投稿させていただきました。よろしくお願いいたします。

Page: [1] [2]

■ コンテンツ関連情報

Re: 踏み台 ( No.1 )

æ¥æï¼ 2005/06/10 10:42
ååï¼ 管理者

取れるかどうか分かりませんが「ps -ef」コマンドを実行してください。その後すぐに、緊急対応として、サーバをLANから切り離してください。その後、踏み台にされた理由から考えましょう。 ①telnetでログインされて、sshで他の方にログインしようとしている？ ②sshでログインされて、sshで他の方にログインしようとしている？ ③既にプログラムが組み込まれてしまって、プログラムよりsshで他の方にログインしようとしている？大抵は上記パターンだと思います。取りあえずLANから切り離す事により、sshアタックされている方には迷惑が及びません。 ①と②であれば、不要ポートを閉鎖し、ログインできるユーザを限定かつログインできるIPも限定してあげればよいでしょう。しかし③が組み込まれてしまっては、何処に仕込まれたか調べるのが厄介です。サーバを再インストールするのが無難です。ログの中身も重要です。「/var/log/messages」と「/var/log/secure」はバックアップ(Windows等に落とす)して下さい。 (一様、/var/log/配下はコピーしてください。) この中に、グローバルIPアドレスよりログインしているログがあるはずです。それがいつの日だったか全てリスティングしましょう。頻繁にログインしているならば③の可能性が低いと思われるので、①と②の対応策で大丈夫かもしれません。

Re: 踏み台 ( No.2 )

æ¥æï¼ 2005/06/10 13:22
ååï¼ 管理者

追記サービスを切っても無駄と思います。ログインされて、また起動されたら意味ありませんので・・・すみません、仕事中でこの後外出します。夜にまた、当スレッドを確認します。

Re: 踏み台 ( No.3 )

æ¥æï¼ 2005/06/10 10:53
ååï¼ luckystrike

お仕事中に申し訳ありません。 ①、②の対策はとってみました。が、どうやら③のようなきがします。再インストールすることを覚悟して、一日おいてみようかと思います。（まずいでしょうか？）お忙しいところ、どうもありがとうございました。

Re: 踏み台 ( No.4 )

æ¥æï¼ 2005/06/10 11:00
ååï¼ 管理者

仮にプログラム（③）であった場合、どの様なプログラムかが問題ですね。ちなみに、①と②はどの様な対策ですか？サーバではなくルータ等でポートを閉鎖しているのであれば問題ないでしょう。しかし、サーバ側でサービスの停止とiptablesの設定だけでは駄目だと思います。プログラムの作りが、サービスを起動してポートを空ける様な仕組みであったらどうしようもありません。物理的に閉鎖するか、ルータ等の第三の機器にて閉鎖してあるのであれば、そのままでも大丈夫と思います。

Re: 踏み台 ( No.5 )

æ¥æï¼ 2005/06/10 11:20
ååï¼ luckystrike

①②はルータにてポートを閉鎖しました。おいそがしいところたびたびすいません。ありがとうございます。

Page: [1] [2]

■ その他

ページ先頭へ

Re: 踏み台 ( No.1 )
æ¥æï¼ 2005/06/10 10:42 ååï¼ 管理者取れるかどうか分かりませんが「ps -ef」コマンドを実行してください。その後すぐに、緊急対応として、サーバをLANから切り離してください。その後、踏み台にされた理由から考えましょう。 ①telnetでログインされて、sshで他の方にログインしようとしている？ ②sshでログインされて、sshで他の方にログインしようとしている？ ③既にプログラムが組み込まれてしまって、プログラムよりsshで他の方にログインしようとしている？大抵は上記パターンだと思います。取りあえずLANから切り離す事により、sshアタックされている方には迷惑が及びません。 ①と②であれば、不要ポートを閉鎖し、ログインできるユーザを限定かつログインできるIPも限定してあげればよいでしょう。しかし③が組み込まれてしまっては、何処に仕込まれたか調べるのが厄介です。サーバを再インストールするのが無難です。ログの中身も重要です。「/var/log/messages」と「/var/log/secure」はバックアップ(Windows等に落とす)して下さい。 (一様、/var/log/配下はコピーしてください。) この中に、グローバルIPアドレスよりログインしているログがあるはずです。それがいつの日だったか全てリスティングしましょう。頻繁にログインしているならば③の可能性が低いと思われるので、①と②の対応策で大丈夫かもしれません。
Re: 踏み台 ( No.2 )
æ¥æï¼ 2005/06/10 13:22 ååï¼ 管理者 `追記サービスを切っても無駄と思います。ログインされて、また起動されたら意味ありませんので・・・すみません、仕事中でこの後外出します。夜にまた、当スレッドを確認します。`
Re: 踏み台 ( No.3 )
æ¥æï¼ 2005/06/10 10:53 ååï¼ luckystrike `お仕事中に申し訳ありません。 ①、②の対策はとってみました。が、どうやら③のようなきがします。再インストールすることを覚悟して、一日おいてみようかと思います。（まずいでしょうか？）お忙しいところ、どうもありがとうございました。`
Re: 踏み台 ( No.4 )
æ¥æï¼ 2005/06/10 11:00 ååï¼ 管理者仮にプログラム（③）であった場合、どの様なプログラムかが問題ですね。ちなみに、①と②はどの様な対策ですか？サーバではなくルータ等でポートを閉鎖しているのであれば問題ないでしょう。しかし、サーバ側でサービスの停止とiptablesの設定だけでは駄目だと思います。プログラムの作りが、サービスを起動してポートを空ける様な仕組みであったらどうしようもありません。物理的に閉鎖するか、ルータ等の第三の機器にて閉鎖してあるのであれば、そのままでも大丈夫と思います。
Re: 踏み台 ( No.5 )
æ¥æï¼ 2005/06/10 11:20 ååï¼ luckystrike `①②はルータにてポートを閉鎖しました。おいそがしいところたびたびすいません。ありがとうございます。`