Linuxで不正にファイルを置かれたかどうか調べる方法

前へ 次へ
このQ&Aのポイント
  • 現在運用しているテスト用のレンタルサーバで不正にメールを大量送信した形跡が見つかったとの報告を受け、ログイン履歴を確認したところ3ヶ月程ログインしたユーザはいない模様でした。
  • メールを送信した時期はここ2,3日の間なので誰かがログインしてメールを送ったわけではなさそうです。不正なファイル等を置かれた可能性があるのでは?とのアドバイスをもらったのですが、最近追加編集されたファイルを探す方法はありますか?
  • また、別の視点で調査する方法等ありましたら教えてください。参考ページ等もありましたらお願いいたします。
回答を見る
  • ベストアンサー

Linuxで不正にファイルを置かれたかどうか調べた

 現在運用しているテスト用のレンタルサーバで不正にメールを大量送信した形跡が見つかったとの報告を受け、調査することになりました。  ログイン履歴を見たところ3ヵ月程ログインしたユーザはいない模様でした。  メールを送信した時期はここ2,3日の間なので誰かがログインしてメールを送ったわけではなさそうです。  不正なファイル等を置かれた可能性があるのでは?とのアドバイスをもらったのですが、最近追加編集されたファイルがあるか?また何処にあるか?等探す方法はありますでしょうか?  また、別の視点で調査する方法等ありましたら教えて下さい。  参考ページ等もありましたらお願いいたします。    よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

「別の視点で調査する方法」としてですが、メールサーバのセキュリティ侵害で多いのは、不正にメールの中継に利用されているケースです。まずは次のようなサイトで自主チェックを! 第三者中継チェック RBL.JP http://www.rbl.jp/svcheck.php 何をどのように調査すべきかは、「不正にメールを大量送信した形跡」というのが何なのかによります。開示できるようなら、その形跡がどんなものかを教えて下さい。「不正なファイル等を置かれた可能性があるのでは?」というのも同様です。なぜその可能性があると考えているのか。上記の不正なメール中継であれば、Webサイトの書き換え等に直接つながる訳ではないですからね。 ログだけで判断するのは危険ですよ。本当にサーバに不正ログインされていたのであれば、ログ等その証跡も消されているでしょう。 なお、大問題になる前にセキュリティの専門家に相談することも検討して下さいね。

その他の回答 (2)

  • kc1127
  • ベストアンサー率50% (4/8)
回答No.3

みなさんと回答の質が違くてはずかしいですが、 OS標準のfindコマンドで $ find /var/log -mtime 0 などと実行すれば、/var/log以下で、今日変更されたファイルの一覧が (ディレクトリも含めて)取得できます。 $ find /var/log -mtime 0 /var/log /var/log/setup.log /var/log/setup.log.full

回答No.1

報告してきた人は、どんな「形跡」を得たのでしょうか。気になりますね。 それによっては調査の手掛かりになるかもしれません。 一般的にメールに関する調査はメールログを見ることから行います。 RedHat系であれば/var/log/maillog がデフォルトのログファイルですが、解読には多少の知識が必要になるかもしれません。 なおメール送信はサーバにログインしなくても何らかのプログラムを置かなくても可能です。 いわゆる「踏み台」にされる場合がおおいのです。つまり、「メールサーバの機能でメールを受信したが、そのサーバが受け取るべき宛先ではなかったのでしかるべきサーバに送信しなおす」のがリレーです。 普通は踏み台にされることを避けるため、自分が受け取るべきではないメールは受信を拒否し、例外として認められたネットワークからのメールや、あらかじめ認証された場合のみリレーを行うように設定します。 メールサーバのリレー許可設定を見直すとか、SMTPAuthを取り入れるなどを検討してみてください。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Linux系OS

関連するQ&A

  • 不正アクセスについて

    不正アクセスで実際に警察等が動いてくれるのはどこからなのでしょうか? 先日、ヤフーのメールで、ログイン履歴を見ていたら、大量のログイン失敗履歴が残っていました。 履歴を見ることのできるものはすべて失敗に終わっていて、実際に被害はなにもないです。 やはり、不正アクセスで動いてくれるのは、実際に何か悪さをされたり、相手がログインに成功していないとだめなのでしょうか? なんだか怖かったので、質問をさせていただきました。 どうぞよろしくお願いいたします。

  • Linuxでの不正アクセス等の問題箇所の特定方法

    Linuxで不正アクセスや踏み台によるspamメール送信など、セキュリティ関連の調査の仕方が学べる or 詳しく説明された書籍もしくはサイトをありませんでしょうか? 私は現在企業でのLinuxのサーバ管理部門でセキュリティ関係の部署に最近配属されました。 今まではLinuxの運用経験も無いので、正直なところ、知識も全然たりない状況(基本的なコマンドが使える程度)でこれから先、サーバ内で不正アクセスや第3者による迷惑メール送信があった場合の問題の箇所の断定や調査の仕方やそういったセキュリティを勉強してみたいと思った次第です。 以上、よろしくお願いします。

  • 不正アクセス??? 困っています;;

    ヤフオクにIDを2つ持っています。(仮にAとBとする) 先日ヤフオク(AのID)で出品している商品に、 別の自分のID(BのID)で勝手に入札されて落札されていました。 しかし当方では全く記憶がございません。 原因が分からなく困っております。 不正に入札されたと思われる同時刻に当方も(BのID)にてアクセスしていました。 ですが、当方は入札した覚えは御座いません。 自分が出品している商品に別の自分のIDで入札するはずが御座いません。。。;; 1,どなたかこういった原因・要因がお解かりになる方、教えて頂けますでしょうか? 2,また不正アクセスされたという事を確かめる方法はありますか? (ログイン履歴は確認済です。ログイン履歴には見知らぬIPアドレスからログインの形跡はありませんでした。) 3,IDのパスワード変更以外に対処方法などは御座いますか? (一度、不正アクセスされているのでパスワードを変更しても仕方がないと思うのですが) 宜しくお願いいたします。

  • Gmailへの不正アクセス

    Gmailの私のアカウントに昨日不正なアクセスがありました。 このGmailアカウントはサブで利用しておりほとんど使わないのですが、最近「Gmail乗っ取り」に関してのニュースが話題となっていますので私もちょっと心配になってログインしたところ、「外部からのアクセスがあった」というようなメッセージが出ました。 何度かログインとログアウトをした後、「アカウント アクティビティの詳細」画面で確認すると、 私がログインする1時間前以前に数回にわたり(それ以上かもしれませんが)外部からのアクセスがあることがわかりました。 POP3 United States IPアドレス 209.85.216.153 からのログインでした。 外部からのアクセスがあった時間は、0:23, 11:20, 10:18, 9:16 となっており、ちょうど1時間ごとのアクセスなのでなんらかのシステムを使って侵入しているように思えます(ずっとログインした状態では1時間ごとにログイン状態が表示される仕組みなのかも知れませんが・・)。 メインでも私はGmailを使っていますがそちらのほうはまったく問題ないのに、あまり使わないこのアカウントに侵入された原因は、きっとパスワードが推測されやすいものだったと考えています。 ◎メインのGmailのパスワード⇒12文字の英数文字 ◎今回侵入されたGmailのパスワード⇒6文字のランダム数字のみ (123456とか333333ではないランダムな数字) 私がログインした時間は1:10だったので、すぐにパスワードをもっと長く複雑なもの(英数文字使用10文字以上)に変更し、このアクティビティの詳細画面上部にある「他のセッションをすべてログアウト」ボタンを押しました。 上記不正アクセス者のログイン時間から推測して、次の不正ログイン時間は1:25頃に思われますが、不正なログインはなく、すでに現在1日以上経過していますが、幸い不正なアクセスはありません。 侵入されたアカウントはサブで使用していましたのでGmailの連絡先などは作っておらず、またその他Gooogleのサービス(Google+、カレンダー、ドライブなど)はまったくやっていないメールのみの利用でした。乗っ取りではこのアカウントを使用してスパムメールを送ることが言われていますが、メールの送信履歴を見ても怪しいメールが送られた形跡はありませんでした。 以下いくつかお尋ねしたいことがあります。 1.スパムメールの送信以外に考えられる被害とかはありますか? 幸い重要なデータや番号を書いたメールなどはこのアカウントにはまったくありませんでしたが、やはり不気味でちょっと心配しています。 2.不正侵入のための基本的な対応はやはりパスワードを推測されないものにし頻繁に変えることでしょうけど、最低どれくらいの長さ(文字数)で変更する頻度はどれくらいがいいのでしょうか? 今回は不正アクセスの怖さや不安を実感しました。 もしこれがメインのGmailアカウントだったら本当にどうしようか困っていたところです。 以上、ご存知方よろしくご教授いただければ幸いです。よろしくお願いいたします。

  • 恋人にメールの不正ログインされました。

    質問です。 30代OLです。 今付き合って半年になる男性がいます。 お互いに将来は結婚したいと思い始めてます。 先ほどたまたま私のWEBメールのログイン履歴を見たら 私がログインするはずのない時間にログインされていて、 IPアドレスから辿ったら、彼の所属してる会社のIPアドレスでした。 先週から何度も不正ログインしているようです。 私の自宅のパソコンを彼に何度か貸したのでそのときに履歴などで パスワードを見られたのかもしれません。。 何度も不正ログインしているということはたぶんメールなどの内容も 見られてると思います。 まだ彼には確認していませんが、、 若干、束縛が強めな人でしたが そのようなことはしない真面目な人だと信じていたのでショックです。 このまま付き合っていっていいのか迷いが出てきました。 不正ログインするような人は別れたほうがいいのでしょうか? 不正ログイン癖は直らないのでしょうか?

  • ウインドウズXPに不正ログイン!?

    ウインドウズXP(HOME EDITION)に関して質問です。 管理者用にパスワードをかけ、他人の不正ログインを防止しているつもりですが なぜか誰かに勝手に使われています。 それはIEの履歴やファイルの残骸(?)から気づきました。 数回 パスワードを変えたみましたが 結果は同じです。 どうやってログインしているのでしょう? 私のプレイバシーもありますし 防ぐ方法はないでしょうか? 教えてください。

  • 楽天市場の不正ログインについて

    2日前に楽天市場から「不正ログインの可能性があるためパスワードを初期化しました」というメールが届き、URLをクリックして再設定するように書かれてありました。 詐欺の一種かと疑ったのでURLはクリックせず、パソコンから楽天市場にアクセスしたらログイン出来なくなっていた為、メールは本物だとわかりパスワードを再設定しました。 再設定後にログインして、今までのログイン履歴を確認したところ、今月初めのログインに見覚えのないIPアドレスがあったので多分それが不正ログインなんだろうとは思うのですが、IPアドレスが書かれてない欄でも、ログイン日時が午前4時すぎや午前6時など、有り得ない時間のログインが幾つかあり、それは先月のログイン履歴でも確認できました。 IPアドレスが書かれてある欄と書かれてない欄の違いは何でしょうか? 午前4時や6時といった、絶対に自分ではないログインも不正だと思うのですが、なぜその時のログインは不正と判断されなかったのでしょうか… 何かおわかりでしたら教えて下さい。よろしくお願いします。

  • 楽天ネット通販で不正ログインされていました

    少し前に楽天から、他人が不正ログインした形跡があるからパスワードを変更してとメールが来て 確認したら知らないログイン履歴が確かにありました。 同時期にニコニコ動画や他のサービスでも似たような事があり、 ネット上のサービスは全て同じメールアドレスとパスワードだったので漏れたんだと思います。 怖かったのでパスワードも色々ランダムに変更して、 クレジットカード登録していたサイトではクレカ情報を削除しました。 幸い楽天の購入履歴や閲覧履歴に不審なものはなかったんですが 一度ログインされてしまったらクレカ止めた方が安全でしょうか? 今利用しないようにしてますが、ポイント目当てで通販使うことが多かったのでかなり不便です。 あと最初に漏れたのは何が原因なんでしょうか? 購入内容を請求書で確認できるように書面で来るように設定しましたが、他にできる対策はありますでしょうか? ご回答いただけたら嬉しいです!

  • 不正アクセスについて相談があります

    不正アクセスの件で、ネット上の知り合いから相談を受け、アドバイスに悩んでいます。 私の知り合い(以下、彼)は、彼のネット上の友人(以下、A)のYahoo!メールにパスワードを推測してログインしてしまいました。 経緯を説明しますと、 ・不正にログインした当日、彼は人間関係で悩んでいる別の友人(以下、B)から相談を受けていた。 ・2年前にも彼は似たような悩みを抱えていたが、そのときにAさんからもらった長文の励ましメールがすごく心に響き、立ち直ることができた。 ・彼は、Bさんにも同じような言葉をかけて励ましてやろうと思い、彼の2年前のフリーメールを確認しようとしたが、一定期間ログインが無かったため既に消去されていた。 ・そこで、AさんのYahoo!メールにログインし、その励ましメールの内容をコピーしようと思った。 ・しかし、送信ボックスの一番下の日付が「2012年」になっており、例のメールは無いと気付いてすぐにログアウトした。 といった具合です。 決して、クレジットの情報を見てやろうとか、弱みを握って金を脅し取ろうとか、そういう不純な動機は一切なく、もちろんその日以降は一度もログインしていないそうです。 もし、Aさんが「メールに不審なログイン履歴がある」と警察に相談しにいった場合、見知らぬログイン履歴が1件あっただけでも警察は捜査に入るのでしょうか? 万が一特定されてしまった場合、彼が不純な動機が無かったことを立証するのは困難だと思うので、非常に心配です。

  • 添付ファイルを1つ送信すると2つ送られる

    MAC OS9.2.2でOutLook Express5.2を使用しています。 メールで添付ファイル(jeg等)を送信した場合、先方に1つしかで添付ファイルを送って無いのに、同一ファイル名で2コが受信されるようで、1つは普通に見える(画像の場合)のに、もう1つのファイルは見れないと言う現象が起きています。 ファイルは見える方がサイズが重くて見えない方が軽いと言う事。そして、私の送信済みアイテム内の送信した書類を見ても1つしか添付された形跡が無い事、送信時に2つのファイルを送信しているような感じがする事。を付け加えておきます。 見れないファイルは、見れないだけでウィルス等の危険は無い模様です。 設定の問題なのか、MACからWINに送る場合の特徴なのか、直し方等あるのか・・どなたか教えて下さい。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する