• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:自社サーバが一斉に攻撃を受けた?)

自社サーバが一斉に攻撃を受けた?

このQ&Aのポイント
  • 自社で運用しているCentOSサーバが一斉に攻撃を受け、ダウンし起動不能になりました。
  • 攻撃の原因はカーネルファイルの消失であり、レスキューモードで起動した際にはディレクトリやサービスが消失していました。
  • 退職したシステム担当者の関与が疑われる事態ですが、それぞれの意見を聞かせていただきたいです。

質問者が選んだベストアンサー

  • ベストアンサー
  • mitoneko
  • ベストアンサー率58% (469/798)
回答No.4

 さまざまな角度から検討すべきと思いますが、30台に一斉に操作する業務がらみの自動処理がないのであれば、攻撃の可能性は高いと推測できますね。  偶然だの操作ミスだのという次元の現象とはとても思えません。  内部か外部かを判断する貴重な資料になりますので、外部との接続点にあるルーターやファイアーウォールなどのログを全て、保全するのが急務ですね。ほっておくと過去の物からどんどん消えていきますからね。  複数の事業所に、これだけのサーバーがあると言うことは、割合大きなネットワークでしょうから、中間点にもルーターか、それに類する物があると推測します。これに関しても、ログを取る機能が備わっているなら、全て保全しましょう。  ログファイルが消失しているのが痛いですが、本当に究明したいなら、今のサーバーのHDDにはこれ以上、一切の書き込みをせずに、専門家に解析を依頼するべきでしょう。データの痕跡が残っている可能性があります。運が良ければ、まだDELをかけただけの状態で簡単にファイルが復元できる状態である可能性も高いです。  ログファイル等の復元ができれば、調査の幅が大幅に広がります。  私が仕掛けるなら・・・退職時に最後の置き土産で、時限爆弾プログラムを仕掛けていくかな。バックドアをおいていっても良いですけど、ネットワークに消しがたい証拠が残るのがシャクですから。    まぁ、そんな推測をしても、なんの役にも立ちません。  威力業務妨害で、素直に警察の手を借りることも考慮に入れた方が良いかと思います。(これだけのサーバーをこかされたら、損害もタダじゃ済んでないでしょうし。ちゃんと犯人を突き止めておけば、損害賠償請求の道も選択肢としてありますから。)

necotadotcom
質問者

お礼

ご回答頂きありがとうございます。全台に一斉に操作するといった処理はありませんので、やはり内部操作ミスの可能性は低いですね…。ご指摘頂いたように残っているルーターのログやサーバHDDの現状維持が重要という事が理解できましたので、まずは情報の保全に努めたいと思います。ありがとうございました。

その他の回答 (3)

noname#208507
noname#208507
回答No.3

> このような事態は、偶然で起こり得るものでしょうか? > > または、悪意のある何者かに攻撃されたと考えるべきでしょうか? 8ヶ月ほど前にも、かなり派手なサーバ・データの消失事故がありましたね。 これは過失でしたが。

参考URL:
http://www.nikkei.com/article/DGXNASFK2600L_W2A620C1000000/
necotadotcom
質問者

お礼

ご回答頂きありがとうございます。ダウンした時間帯などから考慮すると内部社員からの操作ミスの可能性は低いのですが、0%ではありませんので調査してみようと思います。ありがとうございました。

  • gtx456gtx
  • ベストアンサー率18% (194/1035)
回答No.2

元サーバ管理者として・・・ 普通に考えて、30台の全てのサーバで同じファイルがなくなるなどの事象は故意でなければ発生しないと思います。 >ちなみに、このサーバ全台を1人で構築したシステム担当者が、 >先月あまり円満とはいえない形で退職しました。 予断はいけないですが・・・検討すべき要因と思います。 私が管理者なら、警察などに捜査を以来すべき事態と判断します。 >または、悪意のある何者かに攻撃されたと考えるべきでしょうか? 外部の攻撃よりは、内部(退職した人など)の確率が高いと思います。

necotadotcom
質問者

お礼

ご回答頂きありがとうございます。やはり全くの偶然とは考えられないですよね…通報も視野に入れ調査してみます、ありがとうございました。

  • ok-kaneto
  • ベストアンサー率39% (1798/4531)
回答No.1

色々な状況を考えるべきでしょう。 外部からの攻撃もないとは言えないでしょうし、内部に不正にログインしてある時刻に削除するようにされたか、事前に色々仕組まれていた可能性もあります。誰かが操作ミスした可能性もあります。 サーバといいますが、社内公開サーバですか?だとしたら外部(インターネット外)というのはどうでしょうね。VPNで外部から誰かがログインしたとか? 先入観なしで色々と情報収集し、それからの判断でも良いのでは?

necotadotcom
質問者

お礼

ご回答頂きありがとうございます。サービスは外部公開でsshによるリモートも可能ですが、rootパスワードを変更したサーバも同様の事態に陥っていますので事前に仕組まれていたかも知れません…。色々な可能性を考慮して調査してみます、ありがとうございました。

関連するQ&A

専門家に質問してみよう