 Re: ハッカー ( No.6 ) |
 |
- æ¥æï¼ 2006/11/18 12:58
- ååï¼ ももんが
- >Sol 様
とりあえず、1ステップ前進してよかったですね。ところで、サーバーですがネットワークから
切り離してありますよね?(とても危険な状態だと思います)
おっしゃる通りルーターやサーバーでポート閉じて、再インストールすれば今回のようなことには
ならないと思います。更に以下のページなどを参照してセキュリーティーに配慮すればよりベターです。
http://kajuhome.com/index_03.shtml
ですが、お急ぎでなければ、もう少しペコさんや他の方のご意見を聞いてみませんか?今後同じような
ことがあった場合の効率の良い解決方法を教えてもらえるかもしれません。夜間に回答してくれる方が多い
ので、一晩回答待ちませんか?私もこういう場合の対策方法を知りたいです。
|
| Re: ハッカー ( No.7 ) |
|
- æ¥æï¼ 2006/11/18 14:05
- ååï¼ Sol
- Johann様。ももんが様。
ご親切にご支持頂きましてありがとうございます。
ネットには、wコマンドで不審なユーザーがいる事に気づいた瞬間から外しています。
再インストールして慎重に構築しようと思います。
また、色々な情報もお待ちしていますのでしばらくこのスレッドを開いておこうと思いますので情報をお待ちしております。
ご親切にしていただいた、みなさま、本当に感謝しています。
ありがとうございました。
|
| Re: ハッカー ( No.8 ) |
|
- æ¥æï¼ 2006/11/19 07:44
- ååï¼ ももんが
- >Sol 様
過去スレに同様なケースがありました。この様な場合、やはり再インストールするしか
無いみたいですね。このときもJohannさんがアドバイスをしてくれていました。
ちょっとした不注意で大変なことになるんですね。私も気をつけます。
http://kajuhome.com/patio_thread/167.shtml
|
| Re: ハッカー ( No.9 ) |
|
- æ¥æï¼ 2006/11/19 09:57
- ååï¼ Johann
- 参照: http://www.geocities.co.jp/SiliconValley-Sunnyvale/1839/index.html
- ももんがさん、Solさん
過去ログ見たら私結構厳しい事を書いてましたね(汗
私はハッキングされたことは無いのですが、事後調査のポイントは以下だと思います。
1. どのサービス経由で侵入されたのか。(ssh、web、telnet等)
2. どのアカウントが破られたのか。
3. 破られた後、何をされてしまったのか。(今回の場合だとメールサーバーにされてしまった?)
/var/log下のログ解析や、現在動いているプロセスの状況調査。そして、破られたユーザーが判明
したらそのユーザーのコマンドヒストリーを見てみるのも良いと思います。消されちゃってたら駄目ですが。。
私自身も勉強になりますので他の方のご意見もお聞きしたいところです。
|
| Re: ハッカー ( No.10 ) |
|
- æ¥æï¼ 2006/11/19 11:51
- ååï¼ Sol
- ももんが様。Johann様。
今回の件で、とても反省している次第です。
ハッキングされたIDはrootである事はわかっています。(最低な事ですけど。)
相手のIPも判っていますが、踏み台サーバーかもしれないので最終的なIPはたどる事は不可能です。
今回は、ssh→root→mailサーバー不正構築
→一般ユーザ作成→メール送信(100万通位)
とんでもない事をしてしまいました・・・・・・(とても反省しています。)
Historyは残っていませんでした。たぶん消されたんでしょうね。
これから再インストールを行う予定です。このHPでセキュリティ強化がありますが、これで十分でしょうか?
とても神経質になっているのでご教示ください。
よろしくお願いいたします。
|
ハッカー