自社サーバが一斉に攻撃を受けた?
- 自社で運用しているCentOSサーバが一斉に攻撃を受け、ダウンし起動不能になりました。
- 攻撃の原因はカーネルファイルの消失であり、レスキューモードで起動した際にはディレクトリやサービスが消失していました。
- 退職したシステム担当者の関与が疑われる事態ですが、それぞれの意見を聞かせていただきたいです。
- ベストアンサー
自社サーバが一斉に攻撃を受けた?
自社でCentOSサーバを30台ほど運用しています。 サーバの主な用途はhttpdとmysqldで、ネットワーク設定以外は全台同じ設定です。 サーバの設置場所は一箇所ではなく、 事業所Aに10台 事業所Bに15台 事業所Cに5台 といった状況です。 先日、この30台が同時刻に一斉にダウンし、起動できなくなりました。 起動できない原因は、カーネルファイルの消失です。 レスキューモードで起動しましたが、ざっと見た限りで以下のディレクトリやサービスが消失していました。 /root/ /home/ /etc/sysconfig/ httpd mysqld その他ログファイル全て このような事態は、偶然で起こり得るものでしょうか? または、悪意のある何者かに攻撃されたと考えるべきでしょうか? ちなみに、このサーバ全台を1人で構築したシステム担当者が、先月あまり円満とはいえない形で退職しました。 皆様のご意見をお聞かせ頂ければ幸いです、よろしくお願いいたします。
- necotadotcom
- お礼率61% (11/18)
- ハードウェア・サーバー
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
さまざまな角度から検討すべきと思いますが、30台に一斉に操作する業務がらみの自動処理がないのであれば、攻撃の可能性は高いと推測できますね。 偶然だの操作ミスだのという次元の現象とはとても思えません。 内部か外部かを判断する貴重な資料になりますので、外部との接続点にあるルーターやファイアーウォールなどのログを全て、保全するのが急務ですね。ほっておくと過去の物からどんどん消えていきますからね。 複数の事業所に、これだけのサーバーがあると言うことは、割合大きなネットワークでしょうから、中間点にもルーターか、それに類する物があると推測します。これに関しても、ログを取る機能が備わっているなら、全て保全しましょう。 ログファイルが消失しているのが痛いですが、本当に究明したいなら、今のサーバーのHDDにはこれ以上、一切の書き込みをせずに、専門家に解析を依頼するべきでしょう。データの痕跡が残っている可能性があります。運が良ければ、まだDELをかけただけの状態で簡単にファイルが復元できる状態である可能性も高いです。 ログファイル等の復元ができれば、調査の幅が大幅に広がります。 私が仕掛けるなら・・・退職時に最後の置き土産で、時限爆弾プログラムを仕掛けていくかな。バックドアをおいていっても良いですけど、ネットワークに消しがたい証拠が残るのがシャクですから。 まぁ、そんな推測をしても、なんの役にも立ちません。 威力業務妨害で、素直に警察の手を借りることも考慮に入れた方が良いかと思います。(これだけのサーバーをこかされたら、損害もタダじゃ済んでないでしょうし。ちゃんと犯人を突き止めておけば、損害賠償請求の道も選択肢としてありますから。)
その他の回答 (3)
> このような事態は、偶然で起こり得るものでしょうか? > > または、悪意のある何者かに攻撃されたと考えるべきでしょうか? 8ヶ月ほど前にも、かなり派手なサーバ・データの消失事故がありましたね。 これは過失でしたが。
お礼
ご回答頂きありがとうございます。ダウンした時間帯などから考慮すると内部社員からの操作ミスの可能性は低いのですが、0%ではありませんので調査してみようと思います。ありがとうございました。
- gtx456gtx
- ベストアンサー率18% (194/1035)
元サーバ管理者として・・・ 普通に考えて、30台の全てのサーバで同じファイルがなくなるなどの事象は故意でなければ発生しないと思います。 >ちなみに、このサーバ全台を1人で構築したシステム担当者が、 >先月あまり円満とはいえない形で退職しました。 予断はいけないですが・・・検討すべき要因と思います。 私が管理者なら、警察などに捜査を以来すべき事態と判断します。 >または、悪意のある何者かに攻撃されたと考えるべきでしょうか? 外部の攻撃よりは、内部(退職した人など)の確率が高いと思います。
お礼
ご回答頂きありがとうございます。やはり全くの偶然とは考えられないですよね…通報も視野に入れ調査してみます、ありがとうございました。
- ok-kaneto
- ベストアンサー率39% (1798/4531)
色々な状況を考えるべきでしょう。 外部からの攻撃もないとは言えないでしょうし、内部に不正にログインしてある時刻に削除するようにされたか、事前に色々仕組まれていた可能性もあります。誰かが操作ミスした可能性もあります。 サーバといいますが、社内公開サーバですか?だとしたら外部(インターネット外)というのはどうでしょうね。VPNで外部から誰かがログインしたとか? 先入観なしで色々と情報収集し、それからの判断でも良いのでは?
お礼
ご回答頂きありがとうございます。サービスは外部公開でsshによるリモートも可能ですが、rootパスワードを変更したサーバも同様の事態に陥っていますので事前に仕組まれていたかも知れません…。色々な可能性を考慮して調査してみます、ありがとうございました。
関連するQ&A
- LANG="ja_JP.UTF-8"設定がサーバ再起動時正しく反映され
LANG="ja_JP.UTF-8"設定がサーバ再起動時正しく反映されない・・・ Linux環境変数LANGをLANG="ja_JP.UTF-8"に設定したにも関わらず Linnxサーバを再起動するとLANGが「en_US.UTF-8」になってしまいます。 これはなぜでしょうか 環境はLinux Redhat5 環境変数をファイル内で設定するには,「/etc/profile」,「~/.bash_profile」, 「~/.bashrc」の3つがあると思いますが、これらのファイルにはLANG設定がありません。 /etc/sysconfig/i18nと/etc/sysconfig/auditdに以下のLANG設定がありました。 # cat /etc/sysconfig/i18n LANG="ja_JP.UTF-8" # grep LANG /etc/sysconfig/* /etc/sysconfig/auditd:# AUDITD_LANG to the empty string or the string "none". /etc/sysconfig/auditd:AUDITD_LANG="en_US" /etc/sysconfig/httpd:# change the locale in which the server runs, the HTTPD_LANG /etc/sysconfig/httpd:#HTTPD_LANG=C /etc/sysconfig/i18n:LANG="ja_JP.UTF-8" 以上
- 締切済み
- Linux系OS
- httpd.confファイルについて
教えてください。 CentOSのWebサーバを構築する際に設定情報などを書き込むhttpd.conf ファイルですが、別のCentOSのバージョンもしくはhttpdのバージョンで使用していたhttpd.confファイルを持ってきて起動するととエラーになりますでしょうか? またもしくはconfファイルを編集で開いて上書きしたりしてもエラーになりますでしょうか? どこか一部記述を変えると動くようになるとかいうことはありますでしょうか? よろしくおねがいします。
- ベストアンサー
- Linux系OS
- サーバーに繋がりません・・・
こんにちわ。 自宅サーバーを立てようとおもい、いくつか設定してみたのですが、外部から自分のサイトへの接続ができません。 どなたか、原因がわかる方がいましたらご指導お願いします。 現在の状況 使用OSはCENTOS5 apacheを使用しています。 固定IPでないのでサブドメインを取得済み。 ルーター側のポートはポートマッピングで80を開放しています。(ルータはNECのAtermDR207C) ルーターからスイッチングハブを介して、デスク1台(centos5)ノート1台(Windws Vista) 内部からの接続は可能です。192.168.0.101で可能です。(ルータのDHPCの範囲が1~100のようです。) httpdの設定ファイルはほとんどいじっていません。 アドレスはhttp://cathy.dip.jpです どうぞよろしくお願いいたします。
- 締切済み
- その他(ITシステム運用・管理)
- fedoracore6 webサーバー構築設定について
自宅サーバー立ち上げの際でwebサーバー設定を行った中で、「httpd」サービスが再起動出来なくなり困っています。どなたか設定のやり直し方法をご教授願います。現在、httpd.confファイル設定が間違っていて、起動出来ない状態かと推測していますので、再インストールしてやり直そうと考えます。httpd.confファイル設定デフォルトログを取っていかなかったので、最初から設定やり直しが出来ない状態です。 httpd.confファイルのアンインストール方法を教えてください。 ・OSソフト:linux fedoracore6 ・ファイル: httpd.conf
- 締切済み
- Linux系OS
- 自社サーバでSSIを利用するには
最近、会社で COBALT CUBE というLINUXサーバを導入して、常時接続(接続先はIIJ)で、 インタネットサーバとして利用しております。 CGIとかSSIとかの実験をしている所ですが、SSIがどうしても動作しないので、教えてください。 ネットサーフレスキューとか見ますと、プロバイダーにCGI/SSIを使えるかどうかの確認を するようにとの事がよく書かれていますが、 私の会社の場合は、自社サーバですので、プロバイダーに対応するのは、自社のシステム管理者になると 思いますが、そちらに聞いてもよくわかりません。 プロバイダーにしろ、自社のシステム管理者にしろ、 SSIを使える設定が、LINUX上であるのだと思いますが、その設定方法を知りたいのです。 LINUXをインストールすれば、SSIが使えるようになり、SSIを使えなくするためには、何かを設定するのか、 それとも、インストールでは、SSIが使えず、何かの設定で、使えるようになるのか?その辺が知りたいのです。 前者になっていると思って、やっているのですが、うまく動作しません。 具体的な現象としては、ネットサーフレスキュー等を見て、 /home/users/AAA/(AAAはユーザの一つ) というディレクトリに、.htaccess ファイルを置くと、 /home/users/AAA/index.html がIEで見えなくなってしまいます。 なお、/home/users/AAA/index.html は、CGIやSSIは使っておりません。 [.htaccess の内容] Options +ExecCGI +Includes -Indexes AddType text/x-server-parsed-html .html AddType text/x-server-parsed-html .htm AddType application/x-httpd-cgi .cgi AddType audio/x-pn-realaudio .ra
- ベストアンサー
- その他(インターネット接続・通信)
- 誤って全てのユーザを削除してしまい、MySQLサーバに接続出来なくなってしまいました。
さくらインターネットの専用サーバを使用している者です。OSはCentOS 5です。 また、LinuxコマンドやMySQLも使い始めて間もない初心者です。 明らかに手順がおかしいのですが、root@localhost等のユーザを全て削除した後、新しいユーザを作成しようとしていたら、うっかりexitしてしまい、MySQLサーバに接続出来なくなってしまいました…。 色々と調べてみて、以下のような手順を踏んで接続を試みても、繋がりませんでした。 ・/etc/my.cnfの [mysqld] を [mysqld --skip-grant-tables]に変更して上書きし、MySQLを再起動する ・mysql_install_dbを実行して、MySQLを再起動する ・/etc/php.d/にあるmysql.iniとmysqli.iniのバックアップを取ってから削除し、MySQLを再起動する 再起動は、/etc/rc.d/init.d/mysqld stop を実行してから /etc/rc.d/init.d/mysqld startを実行しておりました。 接続方法はいずれの方法でも以下のようにして行いましたが、結果は同じでした。 # mysql ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO) # mysql -u root ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO) # mysql -u root -p Enter password: ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES) どのようにすれば、MySQLサーバに接続出来るようになるのでしょうか? 対策手段が分かる方がおられましたら、ご回答宜しくお願いいたします。
- ベストアンサー
- MySQL
- psコマンドで[]付きのプロセスなのですがどうして?
知人のサーバが負荷が高いので見て欲しいと頼まれました。 topコマンドで確認するとロードアベレージが常に5.0~6.0の間でした。 psコマンドでプロセルを確認するとCOMMANDの欄にmysql,httpd,namedなどが[]が付いた状態([mysqld]のように)で表示されます。 これはカーネルモードで実行されていると思うのですが、今まで経験したサーバではmysqld,httpdなどユーザモードで実行されていました。これはどういう意味があるのでしょうか。直接高負荷の原因とは違うのかもしれませんが、気になったもので。
- ベストアンサー
- ハードウェア・サーバー
- デフォルトゲートウェイの設定場所
CentOS5.9を使用しています。 /etc/sysconfig/network と cat /etc/sysconfig/network-scripts/ifcfg-eth0 「GATEWAY」項目があり、同じデフォルトゲートウェイのIPが設定されていることに気づきました。 ただ、別のCentOSサーバを見てみた所 ・/etc/sysconfig/network-scripts/ifcfg-eth0(eth1やeth2の複数ささってるサーバでも) のeth設定ファイルだけに、「GATEWAY」の設定があるが、networkにはない。 ・/etc/sysconfig/network の方にだけにあり、eth関係のファイルにはない。 とサーバで環境がバラバラなことに気づきました。 (同じCentバージョンでも違ってるものがありました。) 特に、インストール時にIPを設定したぐらいで 設定変更等行っていません。 この「/etc/sysconfig/network-scripts/ifcfg-eth0」と「/etc/sysconfig/network」に 設定するGATEWAYなのですが、 ・どちらのファイルに設定してても良いものなのか? ・ifcfg-eth0 の方にあれば良いものなのか? ・network の方にあれば良いものなのか? がわかりません。(特に全サーバ問題なく動いているのですが・・・。) また、全サーバ複数NICがささっていても、アップリンク(インターネット等)への接続は全てeth0になっております。eth0の先のルータで、ルーティングしております。 ご教授お願いします。
- ベストアンサー
- Linux系OS
- PHPが実行できない
CentOSでPHPの勉強をしています。 ですが、実行ができません。というより、ファイルを見つけることができません。 以下のようにやりました。 まずrootでログインし、httpdを起動させました。 [root@new-host ~]# /etc/init.d/httpd start httpd を起動中: 次にstudentというホストに切り替え、「studentのホーム」というフォルダにtest.phpを作成しました。 この後、 http://new-host/~student にアクセスすればtest.phpが選択できるかと思ったのですがそうすると Not Found The requested URL /~student was not found on this server. Apache/2.2.3 (CentOS) Server at new-host Port 80 と書いてある404 Not Foundの画面になってしまいます。 どこがいけないのでしょうか。よろしくお願いします。
- ベストアンサー
- PHP
- サーバ(OS:CentOS 5.5)が起動しません
サーバ(OS:CentOS 5.5)が起動しません サーバの電源を入れたところ、 Can't find ext3 filesystem on dev dm-0. mount: error mounting /dev/root on /sysroot as ext3: Invalid argument setuproot: moving /dev failed: No such file or directory setuproot: error mounting /proc: No such file or directory setuproot: error mounting /sys: No such file or directory switchroot: mount failed: No such file or directory kernel panic - not syncing: Attempted to kill init! kernel direct mapping tables up to 128000000 @ 10000-16000 と表示され、OSが起動しません。 どのような対処を行えば回復できるのでしょうか? 最悪、中のデータだけでも取り出したいのですが (その後、OSの再インストールを行ないます) 現時点までで、 ・linux rescueコマンド (システムを/mnt/sysimage にマウントするところで失敗) ・シングルモードでの起動 (kernel /vmlinuz-2.6.18-92.1.6.el5 ro root=/dev/VolGroup00/LogVol00 rhgb quietの後にsingle を指定したが、結果は同じ) で失敗しております OS:CentOS 5.5 以上、お解かりになられる方がおりましたら、 宜しくお願い致します
- ベストアンサー
- Linux系OS
お礼
ご回答頂きありがとうございます。全台に一斉に操作するといった処理はありませんので、やはり内部操作ミスの可能性は低いですね…。ご指摘頂いたように残っているルーターのログやサーバHDDの現状維持が重要という事が理解できましたので、まずは情報の保全に努めたいと思います。ありがとうございました。