• ベストアンサー

SSHによる外部宛大量不正アクセスについて

ご覧のみなさまに質問です。 現在、私はとある場所に設置されているサーバーの管理者的な立場にあります。 本日、そのサーバーを接続されているネットワークの管理者から「外部宛に大量にSSHによるアクセスがされている」との通知が入りました。 早速、こちらでログを調査したところ、数日前にとあるユーザーがパスワードを変更されていることが判明いたしました。 さらにその数日前から、不正にアクセスしようと何度もアタックされているログも残っていました。 ネットワーク管理者からは対策がとられない場合には(サーバーを設置している)部屋全体のネットワーク利用を規制するとの通知が着ており、非常に困っております。 お手数お掛けいたしますが対策方法がわかる方がいらっしゃいましたら、ご教授下さい。よろしくお願い致します。 サーバーOS:Fedora Core6 BIND 9.3.4-P1 主な稼動中のサービス:Apach、MySQL、PostgreSQL、Sendmail、SSH、Usermin、Webmin ネットワーク環境:ルーターを介さず直接接続(現在はネットワーク管理者からの指示により切断中) 幸いログの改ざんはされていない模様です。 ただ、当時担当した人間が電源を落としてしまった為、不正アクセス時にどのようなサービスが動かされていたのか特定することが困難な状況になっています。 ※最終的にはリカバリーをかけますが。同じレベルの対策ですと再度クラッキングされる恐れがありましたので質問させていただきました。

質問者が選んだベストアンサー

  • ベストアンサー
  • Wr5
  • ベストアンサー率53% (2173/4061)
回答No.2

> 早速、こちらでログを調査したところ、数日前にとあるユーザーがパスワードを変更されていることが判明いたしました。 > さらにその数日前から、不正にアクセスしようと何度もアタックされているログも残っていました。 sshの辞書攻撃ですね。 /var/log/secure をみてみると、その乗っ取られたユーザー名での接続試行があるでしょう。 ありきたりな名前で、弱いパスワード(辞書に載っているようなモノ)だとあっさり破られるかと。 > 「外部宛に大量にSSHによるアクセスがされている」との通知 攻撃に使われた、同じツールを使って踏み台にして他ホストに対する攻撃を行っていたのでしょう。 無論、その前に管理者権限奪取の為の攻撃が行われていると思われますが。 # 管理者権限の取得に成功して裏口作られた可能性もあります。 # 該当するユーザが書き込み権限を持っている場所に攻撃ツールがダウンロードされているかと。 # もしスクリプトだったりしたら、対策を練る際のヒントになるでしょう。 > ただ、当時担当した人間が電源を落としてしまった為、不正アクセス時にどのようなサービスが動かされていたのか特定することが困難な状況になっています。 元々設定していたサービスなどであれば、 /var/log/boot.log 辺りに起動や終了のログが残っているでしょうし、 ちんとログ保全ていれば /var/log/messages 辺りにも残っているはずです。 管理者権限取られていなければ…ですが。 > ※最終的にはリカバリーをかけますが。同じレベルの対策ですと再度クラッキングされる恐れがありましたので質問させていただきました。 ・SSHのポートを非標準ポート(22以外)にする。 ・SSHのパスワード認証は禁止して公開鍵方式にする。 ・SSHで接続可能なユーザを制限する。 とかですかね。 ウチではポートの変更はしていませんが…アタックの記録が結構あります。 ログから攻撃ツールに登録されているユーザ名の一覧が取得できます。

kaitousha2005
質問者

補足

ご回答ありがとうございます。 おっしゃるとおり、ログに操作履歴が残っていました。 なお、今後はSSHでの接続を全面的に禁止する予定です。

その他の回答 (5)

noname#98978
noname#98978
回答No.6

>数日前にとあるユーザーがパスワードを変更されていることが判明いたしました。 もうすでに、バックドアやrootkitが仕込まれていることでしょう。 >幸いログの改ざんはされていない模様です。 侵入した証拠をログから消しているのでしょう。 対策1 OSから再インストールする。 対策2 スキルのある管理者への交代

kaitousha2005
質問者

補足

ご回答ありがとうございます。 当該ユーザーのホームディレクトリに該当プログラムの存在を確認いたしました。 今後は、OSの再インストール等の対策を行います。

  • pakuti
  • ベストアンサー率50% (317/631)
回答No.5

今回の事象に限って言えば SSHを許可しない。 でしょう ユーザアカウントでログインをする必要がありますか? 無いのであれば、一般ユーザのシェルを/sbin/nologin で 必要があって、IPで縛れるのであれば、iptablesで。 どれもダメであれば、SSHをパスワード認証にせずに鍵認証で。 それでもダメなら、諦める

kaitousha2005
質問者

補足

ご回答ありがとうございます。 確かに、おっしゃるとおりだと思います。 今回の事象の原因はSSHの使用を許可したことに起因するものであり、今後は、SSHそのものの使用を取り止める方向です。

  • Wr5
  • ベストアンサー率53% (2173/4061)
回答No.4

あえて突っ込みませんでしたが… uki629さんに同意です。 個人的にはSendmailよりPostfixだったりしますが。 # ちなみに自宅のはCentOS5。 # 標準だとopensshがログに記録する時刻がズレた上に二重に記録されるので # opensshの公式サイトから取得したパッケージと、Fedora等のSRPMから抽出したpatch使ってオリジナルビルドしたもの使ってます。 # 時々SRPMのパッチとかチェックしていますが。

kaitousha2005
質問者

補足

ご回答ありがとうございます。 私も、Sendmailよりはqmailを使いたいなと考えております。 そうすれば、もう少しまともな運用ができる気がしますので。

  • uki629
  • ベストアンサー率23% (40/172)
回答No.3

>最終的にはリカバリーをかけますが。同じレベルの対策ですと再度クラッキングされる恐れがありましたので質問させていただきました。 というけど 下記に理由を書きますがFdoraを使っている時点でもうダメダメなんですけどね。 >サーバーOS:Fedora Core6 BIND 9.3.4-P1 FC使っている時点でサーバ構築した人の力量はものすごく低いです。 RHELに対してのベータ板みたいなOSを外部公開サーバとして用意すること自体あれなんですよ。 Fedoraは安定性より最新技術を用いてということで問題があるのに サポート期間の短さがさらに問題あり。 Fedora Legacy Projectが解散した現在において Fedoraの場合次の次のバージョンのテスト2のバージョンの公開までがサポート期間だから もうFedoraCoreのサポート/アップデートパッケージの期間は数ヶ月くらいでしょうね。 (Fdora8が先日出ましたし) 金を出せるならRHEL。それができないにしてもせめてそのクローンOS(CentOSなど)あたりを最低限使ってもらいたいものですね。 まともなサーバ構築人ならそこを踏まえてFedoraで外部公開用サーバなんて使いまんけどね。 ここのサイト見ていると「力量が無い人に限ってサーバ公開をしたがる」って思いますよ。 自分ならこんな無知なサーバ構築した人とかかわりたくないので 逃げますね。 質問者も逃げられるなら逃げるべき

kaitousha2005
質問者

補足

ご回答ありがとうございます。 実は大学の研究室でLinuxサーバーを実験的に運用していたため、このような構成となっておりました。 おっしゃるとおり、逃げたい気も・・・

回答No.1

もし残っているならば「とあるユーザ」のホームディレクトリ上にある「.bash_history」を眺めてみてはいかがでしょうか。 侵入経路がSSH経由でかつ、侵入してきた人がちょっとマヌケであればどのようなコマンドを打ったかが残っているかもしれません。 また、それまで使っていたApacheや各種データベースソフト等のバージョンを確認するのも重要です。 古いバージョンのソフトを使い続けていてセキュリティホールが出来ていた、というのはよくある話です。

kaitousha2005
質問者

補足

ご回答ありがとうございます。 おっしゃるとおり、コマンドのログがほぼすべて残っていました。

関連するQ&A

専門家に質問してみよう