[centos-users 181] Re: 突然su -でログインができない

[N_Masuda]

ありがとうございます。

はじめに記載しなければいけないバージョンを
忘れていました。

CentOS4.2で、Kernelは 2.6.9-22.ELになります。

現状完全に止めても金銭的損害のあるような状態では
ありませんので、明日にでも社内の人間に操作してもらい
停止の方向でいこうかと思います。

実際詳しくないのですが、
このような侵入というのはApacheやPosgreの膨弱部から
侵入されているのでしょうか？
＃はっきり方法を書くのはこのような場では適切でないと思いますが。

バックアップ後の再構築となると、このあたりを押さえた構成に
しないともう一度同じ事になってしまうと思いますので。。。

Takeshi Kusune wrote:
> N_Masuda wrote:
> 
>>>で、結局一番何がしたいんですか？
>>>侵入されたかどうかを知りたいのですか？
>>>それとも他に迷惑をかけないようにしたいのですか？
>>>それともサービスを止めないようにしたいのですか？
> 
> 
>>先週金曜にDBを触って、社内から稼働確認をして帰ってきて、
>>今の状態なので、まずは、できることなら侵入なのか何なのか、原因を知りたい
>>です。
> 
> 
> なるほど。
> 聞いただけの内容から思うに 7〜8 割はアウトの気がしますね。
> そのサーバは CentOS のいくつが入っていてどのくらい更新していて、
> パスワードはどのくらい強力でどういった場所からアクセスしているか、
> 他にもいろいろ、そうした内容を聞けば割合はかわるかもですね。
> 
> ただ、結果として「侵入っぽいかどうか」の雰囲気はかわるにしても、
> 結局証拠を押さえないと「侵入かどうか」ははっきり判断はできませんし、
> そのためには侵入者に気付かれて痕跡を消されないように、
> 最小かつ効果的な方法を試行錯誤する必要がありますね。
> ぶっちゃけ、特に仕掛けもなく直接触れない状況では現実的ではないです。
> 
> 「できることなら」とあるのでそのあたりはご理解されてることと思いますし、
> 「最悪はサーバを落とすしかない」という意識もお持ちのようですから、
> もしサービスを止めても代替手段でなんとかなるのであれば、
> とりあえずは止めて早目に時間をとって別 HDD 等で代替サービスを立ちあげ、
> そのあとで時間ある時にゆっくり状況調査、という提案を私ならします。
> --
> Takeshi Kusune <kusune ＠ sfc.wide.ad.jp>
> _______________________________________________
> centos-users mailing list
> centos-users ＠ oss.poyo.jp
> http://oss.poyo.jp/mailman/listinfo/centos-users
> 
>