｜Top｜過去ログ目次｜掲示板｜

作成日：2005年04月01日　作成：おやじ

掲示板で過去に質問された内容です。

---

No.4504　侵入の形跡があります。対処法は？

• 侵入の形跡があります。対処法は？ - タッチ 05/04/01-21:51 No.4504
  • 問題かどうかが判断できていないだけではないですか？ - おやじ 05/04/02-12:22 No.4505
    • おっしゃる通りです。少し、あわてました。 - タッチ 05/04/02-14:19 No.4506

---

No.4504　投稿時間：2005年04月01日(Fri) 21:51　投稿者名：タッチ　ＵＲＬ：
タイトル：侵入の形跡があります。対処法は？

なんとかsmptserver,popserverを構築して、amavisや、tripwire、bitdefenderなど、インストールして、１週間ほど、様子を見ていましたが、smtphunter11@daum.netなどという侵入の形跡がみられました。tripwireのreportを見ると、/root/.Xauthoryが、書き換えられてる感じがしました。こんなのは初めてなので、まだ、tripwireや、amavisの解析はについて、なにがなんだかよく解っていませんが、確かに、侵入されて、書き換えられていそうです。amavisのreportには、数字の羅列に、＠が入り、その後に、hostnameが入った、メールアドレスの後に、Hits:-2.82,1155 ms: 1 Time(s)などと記載されています。たぶん、ウイルスメールをヒットしたのでしょう。完全に、サーバーを乗っ取られているのでしょうか？もしそうだとしたら、対策は、ハードディスクをフォーマットし直して、ドメインの変更をして、もう一度、サーバをくみなおさなければいけないのでしょうか？それとも、もう一台のLinuxサーバーの/root/.Xauthorityを上書きすればよいのでしょうか？もう、ドメインがばれてるので、ドメインの変更も必要かもしれません。もし、よろしければ、対処法と、今後のセキュリチィーの対策を教えてください。よろしくお願い申し上げます。

---

No.4505　投稿時間：2005年04月02日(Sat) 12:22　投稿者名：おやじ　ＵＲＬ：http://http://www.aconus.com/~oyaji/
タイトル：問題かどうかが判断できていないだけではないですか？

非常に見にくいので改行しました。

> なんとかsmptserver,popserverを構築して、amavisや、tripwire、bitdefenderなど、インストールして、１週間ほど、様子を見ていましたが、smtphunter11@daum.netなどという侵入の形跡がみられました。

何を持って新入と判断したのですか？　単にrejectされているだけではないですか？
このメアドは時々現れるやつで、チャントsmtpが設定されていればはじかれるだけ。
第三者中継のテストをしましたか？それがOKならはじかれているはず。ログの見方を勉強しないと駄目では？

>tripwireのreportを見ると、/root/.Xauthoryが、書き換えられてる感じがしました。こんなのは初めてなので、まだ、tripwireや、amavisの解析はについて、なにがなんだかよく解っていませんが、確かに、侵入されて、書き換えられていそうです。

/root/.Xauthoryは自分がrootでログインすれば書きかえられます。

# last

でrootでログインした時間がわかるので、自分かどうか調べたらどうですか？
自分がログインしただけと思います。

>amavisのreportには、数字の羅列に、＠が入り、その後に、hostnameが
入った、メールアドレスの後に、Hits:-2.82,1155 ms: 1 Time(s)などと記載されています。たぶん、ウイルスメールをヒットしたのでしょう。

ウイルスなどは腐るほどきます。最大で700件弱/日きたこともあり、alertメールが止まらなくなりました。

>完全に、サーバーを乗っ取られているのでしょうか？もしそうだとしたら、対策は、ハードディスクをフォーマットし直して、ドメインの変更をして、もう一度、サーバをくみなおさなければいけないのでしょうか？それとも、もう一台のLinuxサーバーの/root/.Xauthorityを上書きすればよいのでしょうか？もう、ドメインがばれてるので、ドメインの変更も必要かもしれません。もし、よろしければ、対処法と、今後のセキュリチィーの対策を教えてください。よろしくお願い申し上げます。

問題かどうかが判断できていないだけではないですか？　ログをしっかり読めないなら何をしても良し悪しの判断ができないので、永遠に悩み続けるだけ・・・。
設定ミスさえしなければ、そう簡単に入られることはないですが・・・。
もしハックされたのなら、すぐにネットワークから切り離しHDDのフォーマットをして、入れなおしですね。但し、入られた原因が判断できない以上、何回やっても入られるでしょう。ドメイン変えても無駄でしょうから、じっくり時間をかけて何が問題だったかわかるまではネットワークにつながないことです。

---

No.4506　投稿時間：2005年04月02日(Sat) 14:19　投稿者名：タッチ　ＵＲＬ：
タイトル：おっしゃる通りです。少し、あわてました。

postfix beginの項目に
8 messages sent
8 messages removed from queue
Top ten senders:
4 messages sent by:
root:
多分、８通のメッセージを送ろうとして、
８通のメッセージ削除？
rootから、４メッセージが送られています。
との意味でしょう。
rootからのメッセージはamavisと、tripwireからのlogメッセージなので、問題ないかもしれません。

もし、ハックされていたなら、メーラーの送信済フォルダーにもいろいろ履歴が残るのでしょうか？bitdefennderでは、感染ファイルが見あたらなかったし、第三者中継テスト、listコマンドによる確認、その他、messegilogなど、落ち着いて、確認してみます。お騒がせしてしまい、申し訳ありませんでした。

---

｜掲示板｜▲頁先頭｜

---