- ベストアンサー
ウェブページ改竄の被害について
- ウェブサーバがウェブページの改竄の被害に遭いました。
- /var/log/を調査しましたが、改竄の経路は特定できませんでした。
- 対策としてパケットフィルタリングを行い、不正アクセスを制限しました。今後の勉強のために改竄の手口や進入手口を教えてください。
- a-gamyl
- お礼率88% (15/17)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
FreeBSDは知りませんが… >2.sshが破られてrootのパスワードが盗まれた sshでパスワード認証。しかもrootログイン可。 という設定であれば、こちらが怪しいでしょう。 root権限があればログの改竄だって思いのままです。 痕跡消していくくらいのことはするでしょう。 もっとも、そういう処理をした上でバックドア作っていくスクリプトくらいありそうですが。 chkrootkitで仕込まれていないか確認した方がよろしいかと。 psコマンドやらnetstatコマンドやらでバッグドアのプロセスを隠蔽している可能性もありますし。 ご存じだとは思いますが、ftpは生パスワードがネットワーク上を流れます。 パケット盗聴されていたら即アウトです。 サーバソフトとクライアントが対応しているならばSSL通信で保護した方がよいでしょう。 sshのscp等の方法もありますが。 sshは公開鍵認証にしておいた方がいいです。 (接続可能なユーザーを制限するというのもありかと)
その他の回答 (1)
- angband
- ベストアンサー率51% (86/168)
ftpのパスワードが漏れた程度ではログを消すことはできないはずです。 またFreeBSD5.3はかなり古いですがwebとssh以外はサービスを提供して なかったんですか?pop3とかimap、dnsなど・・色々な可能性があり すぎて一言では絞り込む方法は説明しきれませんが・・・ 5.3でパッチレベル0だとすると二年前のzlibの問題とかも残っている んじゃないでしょうか。その場合低いユーザー権限でもコマンドが 実行できればroot権限を奪取された可能性はあると思います。 ●なんらかの痕跡を探す ある程度できるクラッカーなら痕跡を残さないと思いますが、 /devの下で file * とかしてみてテキストファイルとかあれば アウトですよね(昔よくあったrootkit) あとバッファオーバーフローの場合はログなんか残るはずないです。 (プロセスは異常終了しているわけですから)もしかしたら/とか apacheのホームにcoreが残ってないか調べてください。まぬけな クラッカーなら残っているかもしれません。 またFreeBSD5.3のCDと比べて、ps,netstat,lsなどが置き換え られてないか調べるのも情報を得られる可能性があると思います。 ●今後 FreeBSD5.3をcvsupで最新版までパッチレベルを上げてください。 サーバプロセス(bindとかapacheとか)も同様です。 アプリケーション(xoopsなど)も同じです。 まあ、僕なら念のため再インストールしますが・・・・
お礼
pop等は利用していなかったので,問題になるのはwebとsshあたりになると思います. portaudit&portupgradeにて,セキュリティに関するパッチはいろいろ当てていたので,zlibの問題は大丈夫かと思います. apacheのログあたりは参考になりそうですね.xoopsも怪しい気がしますのでそこら辺も調べてみます. なんにせよ,再インストールが確実ですね^^. いろいろご教授ありがとうございます.
お礼
chkrootkit というのが存在するのですね.sshの方が破られた可能性が高いので,一度試してみます. ありがとうございました.