[centos-users 177] Re: 突然su -でログインができない

Takeshi Kusune kusune @ sfc.wide.ad.jp
2006年 1月 15日 (日) 15:18:06 JST


楠根です。

N_Masuda wrote:
> 現象に気づいたのは、昨日の夜なのですが、
> 金曜までsu -は問題なく行えていたのですが、
> 現在は、パスワードを入力すると、
> su: incorrect password となりログインできません。

> どこから切り分けていったらいいのか分からないでいます。。。

とりあえず /bin/ls -l /etc/shadow /etc/passwd とかやって
更新日の確認をしてみたりはするかもだけど、
もしやられてたら /bin/ls も置きかえられてて不思議じゃないので、
たいして意味ないといえばないですね。
netstat -na とか ps ax で知らないプロセスがあるかを見るのも同じ。

もし侵入されていた場合、
サーバ本体への変更をすると勘づかれて証拠を消される可能性もあるので、
出口ルータや同じセグメントの端末などからパケットキャプチャとか、
ネットワークI/Fのランプなどを見て不審な点がないか確認したいとこ。

> 現在はSSHでの接続になります。

他への迷惑を考えるなら「まずはネットワーク接続を物理的に遮断」かな。
でもそれをトリガに証拠湮滅をするしかけがしてあってもおかしくないし、
そもそも物理的にアクセスできないなら無理ですね。

もし一時的に止めちゃってもいいサーバで、誰かを遠隔操作できるなら、
データは一部飛ぶかもだけど電源を直接きっちゃって
あとで CD かなにかで起動して色々調べてみる、という手もなくはないですね。

で、結局一番何がしたいんですか?
侵入されたかどうかを知りたいのですか?
それとも他に迷惑をかけないようにしたいのですか?
それともサービスを止めないようにしたいのですか?
それとも...
それによって何をすべきか(と協力がここで得られるかどうか)が変わります。
--
Takeshi Kusune <kusune @ sfc.wide.ad.jp>



centos-users メーリングリストの案内