- ベストアンサー
ウェブページ改竄の被害について
- ウェブサーバがウェブページの改竄の被害に遭いました。
- /var/log/を調査しましたが、改竄の経路は特定できませんでした。
- 対策としてパケットフィルタリングを行い、不正アクセスを制限しました。今後の勉強のために改竄の手口や進入手口を教えてください。
- a-gamyl
- お礼率88% (15/17)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (1)
- angband
- ベストアンサー率51% (86/168)
ftpのパスワードが漏れた程度ではログを消すことはできないはずです。 またFreeBSD5.3はかなり古いですがwebとssh以外はサービスを提供して なかったんですか?pop3とかimap、dnsなど・・色々な可能性があり すぎて一言では絞り込む方法は説明しきれませんが・・・ 5.3でパッチレベル0だとすると二年前のzlibの問題とかも残っている んじゃないでしょうか。その場合低いユーザー権限でもコマンドが 実行できればroot権限を奪取された可能性はあると思います。 ●なんらかの痕跡を探す ある程度できるクラッカーなら痕跡を残さないと思いますが、 /devの下で file * とかしてみてテキストファイルとかあれば アウトですよね(昔よくあったrootkit) あとバッファオーバーフローの場合はログなんか残るはずないです。 (プロセスは異常終了しているわけですから)もしかしたら/とか apacheのホームにcoreが残ってないか調べてください。まぬけな クラッカーなら残っているかもしれません。 またFreeBSD5.3のCDと比べて、ps,netstat,lsなどが置き換え られてないか調べるのも情報を得られる可能性があると思います。 ●今後 FreeBSD5.3をcvsupで最新版までパッチレベルを上げてください。 サーバプロセス(bindとかapacheとか)も同様です。 アプリケーション(xoopsなど)も同じです。 まあ、僕なら念のため再インストールしますが・・・・
お礼
pop等は利用していなかったので,問題になるのはwebとsshあたりになると思います. portaudit&portupgradeにて,セキュリティに関するパッチはいろいろ当てていたので,zlibの問題は大丈夫かと思います. apacheのログあたりは参考になりそうですね.xoopsも怪しい気がしますのでそこら辺も調べてみます. なんにせよ,再インストールが確実ですね^^. いろいろご教授ありがとうございます.
関連するQ&A
- HPの改ざんの手口について
http://www.hokkoku.co.jp/_today/H20060822002.htm にあるように、「不正アクセス防止システムが破られ・・・」ってありますが、改ざんする手口としては、FTPのユーザとパスワードを入手する可能性が高いのだと思いますが、apacheの脆弱性などを利用?してrootを奪取する?とかそういうことなんでしょうか?
- ベストアンサー
- ネットワーク
- Webページが表示されない場合の調査方法
有識者の方々お世話になります。 また、いつもありがとうございます。 最近サーバーで変な現象が起こっています。 Apache(httpd)のプロセスは動作しているのに Webページにアクセス出来なくなります。 サーバ起動直後はWebページにアクセス可能なのですが、 数日経つとページが表示できなくなります。 原因が全く分かりません。 調査の仕方など、/var/log/httpd/以下のログ以外に サーバ側で調べる必要のある箇所があるようでしたらご教授頂きたいです。 お願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- apacheでパスワードなしログインが出来ない
いつもお世話になります、 PHPからrsyncを実行するため、 apacheでパスワードなしログインが出来るようにしたいのですが 設定をしても、どうしてもパスワードを要求されてしまいます。 エラーメッセージが出ないので八方ふさがりになってしまいました LINUX上級者の方ご教授頂けると嬉しいです クライアント:CentOS5 サーバ:RedHutLinux5.6 【行いたいこと】 apacheでパスワードなしログインが出来るようにしたい 【クライアント側】 1.まずはapacheでsuできるようapacheユーザの最後の/sbin/nologinを/bin/bashに変更 2.apacheユーザの秘密鍵と公開鍵を置く場所を作る # mkdir /var/www/.ssh # chmod 700 /var/www/.ssh # chown apache.apache /var/www/.ssh 3.apacheユーザの秘密鍵と公開鍵を作る # su - apache $ ssh-keygen -t rsa 空でenter 4.以下の文字列をコピー $ cat ~apache/.ssh/id_rsa.pub 【サーバ側】 5./etc/passwdにapacheが見当たらなかったので追加 apache:x:48:48:Apache:/var/www:/bin/bash 6./etc/groupにapacheが見当たらなかったので追加 apache:x:48: 7.フォルダを作り公開鍵をペースト # mkdir /var/www/.ssh # chmod 700 /var/www/.ssh # chown apache.apache /var/www/.ssh # chown apache.apache /var/www/.ssh/authorized_keys # chmod 600 /var/www/.ssh/authorized_keys 8.権限付与 # chgrp -R apache /var/www/html 【クライアント側】 9.apacheにsuする 10.SSHで接続 ssh -i /var/www/.ssh/id_rsa XX.XX.XX.XX 11.パスワードを聞かれてしまう apache@XX.XX.XX.XX's password: 失敗
- ベストアンサー
- ハードウェア・サーバー
- Webサーバが固まる原因について
よく理解できないことが起きているので、質問することにしました。クライアント様のサーバなのですが、SSHでリモートでアクセスできるのにウェブサーバやメールサーバが正常に動作していないことが稀にあります。 cronで毎分でPINGを飛ばして死活監視を実装していますが、この監視ではウェブサーバやメールサーバが正常に機能しているかのチェックにはなりません。したがって、そこまでチェックする機能を実装させるべきなのですが。 サーバの基本仕様を載せておきます。 OS: Fedora Core1 Webサーバ: apache1.3.29 + openssl-0.9.7e メールサーバ: postfix-2.1.4, qpopper4.0.5 疑問なのは、httpsdデーモンのプロセスが動作しているにもかかわらず、ホームページ閲覧ができない症状が起き得るのかということです。httpsdのアクセスログを見ると、不正アクセスらしいログが多々出ておりました。Linuxサーバなのに、Windowsサーバのファイル(.aspファイルなど)を閲覧しようとしていてファイルが存在しない、といったログが多々出ておりました。 もし、同じような症状が起きて問題解決できた方がいらっしゃれば、是非アドバイスをお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- 【Webサーバー】特定のIPアドレスから接続できない。
お世話になります。 問題の切り分けについてお教えください。 現在、社外にWebサーバー(debian+Apache2.2)があります。 私の事務所には、FTTH回線が2回線ありルーターも2つ存在しています。一つの回線からは、Webサーバーへssh、www、ftp、pingの疎通があることを確認しているのですが、もう一つの回線からは、ssh、www、ftp、pingにおいて全く接続することができません。※不通の回線については、このサーバー以外は接続が可能です。 Webサーバーのiptableを確認したのですが、特に何も設定しておりません。access.logを確認しても、接続の形跡はありませんでした。 また、sshでWebサーバーに接続して、不通な方のルーター(固定IP)へpingを飛ばすと応答があります。 原因は、外部にあるルーターがIP制限していると考えるのが普通でしょうか?他にサーバー内で確認できることがありましたら、お教えください。 どうぞ宜しくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- ログ管理
ftpサーバーのログファイルにログが記載されないトラブルにみまわれております。 /etc/xinetd.d/vsftpd は、 service ftp { ... log_type = SYSLOG local3 ... } と設定しまして、 /etc/syslog.conf には、 ... local3.* /var/log/ftpd.log ... と設定し、 /var/log ディレクトリに、アクセス制限が644の所有者及びグループがrootのファイル ftpd.log を作成しました。 以下の設定で、デーモンとシステムログを以下のように再起動させました。 #service xinetd reload #service syslog reload これで、ftpサーバーにアクセスしたら、/var/log/ftpd.log にログが残ると思ったのですが、ログが記録されません。 上記の手順では不備があるのでしょうか。 問題解決の答えないしヒントを教えてください。
- ベストアンサー
- Linux系OS
- 何が悪いとハッカーにwebページを書き換えられる
仕事で会社のwebページを管理しております。OSはlinux(centOS 5.5)で、webサーバーは apache(httpd 2.2.17) を使っております。 よくニュースでハッカーにwebページを書き換えられた、という話を聞きますが、サーバーのパスワード(自分、root)をしっかり管理し、apache も常に最新版に保っていますが、それでもハッカーに侵入される可能性はありますか? 侵入されるとすれば、どこから侵入されるのでしょうか?
- ベストアンサー
- ネットワーク
- ネットにおける「のぞき見や改ざん」について
セキュリティについて質問です。 ネット上で、「のぞき見や改ざんなどの不正アクセスを防ぎ、安全な通信を可能にする技術がVPNだ。」という説明を見つけました。 そこで、質問です。 「覗き見や改ざんなどの不正アクセス」とは、どのようなことを指すのでしょうか? 1.パスワードを手入力した時のみ、読み取られる可能性がある。 2.パスワードが伏字になっていても、ログインしようとした時には、読み取られる可能性がある。 3.ログインしっ放しにしていても、パスワードを読み取られる可能性がある。 改ざんについては、「IDとパスワードが盗まれた場合に、勝手にログインされて登録情報を変更されてしまう」ということですよね? 以上、よろしくお願いいたします。
- 締切済み
- その他(インターネット接続・通信)
- シリアルコンソール経由でファイルをコピーしたい
シリアルコンソール経由でしかアクセスできないサーバーから、ログファイルを ローカルにコピーしたいのですが、コマンドが分かりません。現在の状況は以下です。 最終的にはクライアントにファイルを持ってきたいのですが、 下記のサーバー2⇒サーバー1に持ってこれるだけでも大助かりです。 ・接続経路はクライアント⇒サーバー1⇒サーバー2 ・「クライアント⇒サーバー1」間はSSHで接続 ・「サーバー1⇒サーバー2」間はシリアルコンソールでminicomコマンドで接続 ・サーバー1のOSはLinux、サーバー2のOSはFreeBSD ・いずれのサーバーにもroot権限を持っています ・いずれのサーバーもftpdが動いてます ・サーバー2へは直接インターネット側からはアクセス不能 以上です。よろしくお願いいたします。
- 締切済み
- その他(インターネット・Webサービス)
お礼
chkrootkit というのが存在するのですね.sshの方が破られた可能性が高いので,一度試してみます. ありがとうございました.