[centos-users 183] Re: 突然su -でログインができない

N_Masuda n-masuda @ n-n-s.net
2006年 1月 15日 (日) 22:09:05 JST


平様

ご丁寧にありがとうございます。

ご教授頂いた事を無駄にしないよう、やってみたいと思います。

#唯一の悔いは明日から社内にいけないため、直接サーバの状態を
#みることができないことです

明日、社内の人間に停止をまずしてもらうことにします。

もし何かあれば、またMLさせて頂きます。

ありがとうございました!

TAIRA Hajime wrote:
> ども、こんばんわ、平です。
> 
> システムを停止できるのであれば、インストールCD1枚目でレス 
> キューブートを行い、
> chrootした後にrpm -Vaコマンドを実行してみて下さい。
> 
> 改ざんされるはずのないファイルが書き替わっていた場合
> (たとえば、Baseパッケージグループに含まれるバイナリが変更 
> されていたりした場合)
> は侵入形跡とみなしてよいです。
> 
> また、/var/log/secureや/var/log/messagesが不自然に編 
> 集してあったり、
> そもそもなくなっていた場合も、侵入形跡ありです。
> 
> あとはiptablesのポリシールールにおかしな記述が追加されてい 
> るとか。
> 
> 公開しては行けない情報を元に判断する必要が多々ありますので、
> 守秘義務契約を結んだ上でなければ、誰も対応できません。
> 
> 「OSから入れ直し」 or 「原因を解明するか」
> 
> 対応できるのは「あなただけ」です。
> 
> 今後とも「本当にCentOSでよいのか」検討する必要もあるかと思 
> います。
> 
> .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
> TAIRA Hajime <centos @ pantora.net>  (for centos)
>              web: http://pantora.net/
> 
> 
> On 2006/01/15, at 16:26, N_Masuda wrote:
> 
> 
>>ありがとうございます。
>>
>>はじめに記載しなければいけないバージョンを
>>忘れていました。
>>
>>CentOS4.2で、Kernelは 2.6.9-22.ELになります。
>>
>>現状完全に止めても金銭的損害のあるような状態では
>>ありませんので、明日にでも社内の人間に操作してもらい
>>停止の方向でいこうかと思います。
>>
>>実際詳しくないのですが、
>>このような侵入というのはApacheやPosgreの膨弱部から
>>侵入されているのでしょうか?
>>#はっきり方法を書くのはこのような場では適切でないと思いますが。
>>
>>バックアップ後の再構築となると、このあたりを押さえた構成に
>>しないともう一度同じ事になってしまうと思いますので。。。
>>
>>Takeshi Kusune wrote:
>>
>>>N_Masuda wrote:
>>>
>>>
>>>>>で、結局一番何がしたいんですか?
>>>>>侵入されたかどうかを知りたいのですか?
>>>>>それとも他に迷惑をかけないようにしたいのですか?
>>>>>それともサービスを止めないようにしたいのですか?
>>>
>>>
>>>>先週金曜にDBを触って、社内から稼働確認をして帰ってきて、
>>>>今の状態なので、まずは、できることなら侵入なのか何なのか、原 
>>>>因を知りたい
>>>>です。
>>>
>>>
>>>なるほど。
>>>聞いただけの内容から思うに 7〜8 割はアウトの気が 
>>>しますね。
>>>そのサーバは CentOS のいくつが入っていてどのくらい更新 
>>>していて、
>>>パスワードはどのくらい強力でどういった場所からアクセスしてい 
>>>るか、
>>>他にもいろいろ、そうした内容を聞けば割合はかわるかもですね。
>>>
>>>ただ、結果として「侵入っぽいかどうか」の雰囲気はかわるにして 
>>>も、
>>>結局証拠を押さえないと「侵入かどうか」ははっきり判断はできま 
>>>せんし、
>>>そのためには侵入者に気付かれて痕跡を消されないように、
>>>最小かつ効果的な方法を試行錯誤する必要がありますね。
>>>ぶっちゃけ、特に仕掛けもなく直接触れない状況では現実的ではな 
>>>いです。
>>>
>>>「できることなら」とあるのでそのあたりはご理解されてることと 
>>>思いますし、
>>>「最悪はサーバを落とすしかない」という意識もお持ちのようです 
>>>から、
>>>もしサービスを止めても代替手段でなんとかなるのであれば、
>>>とりあえずは止めて早目に時間をとって別 HDD 等で代替サー 
>>>ビスを立ちあげ、
>>>そのあとで時間ある時にゆっくり状況調査、という提案を私ならし 
>>>ます。
>>>--
>>>Takeshi Kusune <kusune @ sfc.wide.ad.jp>
>>>_______________________________________________
>>>centos-users mailing list
>>>centos-users @ oss.poyo.jp
>>>http://oss.poyo.jp/mailman/listinfo/centos-users
>>>
>>>
>>
>>_______________________________________________
>>centos-users mailing list
>>centos-users @ oss.poyo.jp
>>http://oss.poyo.jp/mailman/listinfo/centos-users
>>
>>
> 
> 
> _______________________________________________
> centos-users mailing list
> centos-users @ oss.poyo.jp
> http://oss.poyo.jp/mailman/listinfo/centos-users
> 
> 




centos-users メーリングリストの案内