[centos-users 180] Re: 突然su -でログインができない

Takeshi Kusune kusune @ sfc.wide.ad.jp
2006年 1月 15日 (日) 16:17:06 JST


N_Masuda wrote:
>> で、結局一番何がしたいんですか?
>> 侵入されたかどうかを知りたいのですか?
>> それとも他に迷惑をかけないようにしたいのですか?
>> それともサービスを止めないようにしたいのですか?

> 先週金曜にDBを触って、社内から稼働確認をして帰ってきて、
> 今の状態なので、まずは、できることなら侵入なのか何なのか、原因を知りたい
> です。

なるほど。
聞いただけの内容から思うに 7〜8 割はアウトの気がしますね。
そのサーバは CentOS のいくつが入っていてどのくらい更新していて、
パスワードはどのくらい強力でどういった場所からアクセスしているか、
他にもいろいろ、そうした内容を聞けば割合はかわるかもですね。

ただ、結果として「侵入っぽいかどうか」の雰囲気はかわるにしても、
結局証拠を押さえないと「侵入かどうか」ははっきり判断はできませんし、
そのためには侵入者に気付かれて痕跡を消されないように、
最小かつ効果的な方法を試行錯誤する必要がありますね。
ぶっちゃけ、特に仕掛けもなく直接触れない状況では現実的ではないです。

「できることなら」とあるのでそのあたりはご理解されてることと思いますし、
「最悪はサーバを落とすしかない」という意識もお持ちのようですから、
もしサービスを止めても代替手段でなんとかなるのであれば、
とりあえずは止めて早目に時間をとって別 HDD 等で代替サービスを立ちあげ、
そのあとで時間ある時にゆっくり状況調査、という提案を私ならします。
--
Takeshi Kusune <kusune @ sfc.wide.ad.jp>



centos-users メーリングリストの案内