知り合いのサーバが不正アクセスにあい、踏み台サーバにされてしまいました。
何かの為にもなればと思うのでまとめておきます。
発見のきっかけになったのは、インターネットの契約会社から、
「契約IPから不正アクセスが確認されている。至急調査を求む。」と来た連絡でした。
自IPから他のIPにむけてsshログインを高速で繰り返している、という話でした。
つまり、SSHブルートフォースアタックを他に実施している!?
ということは、、
踏み台にされて他への攻撃に加担してしまったということなのか。怖い。ということで、外部とのアクセスを物理的に遮断。調査開始。
【被害状況の確認】
大事なのは、ハッキングをされた事で何をされたかというのを特定する事。
このサイトによると、
http://www.kozupon.com/crack/crack3.html
1) 踏み台にされていないか?
2) ファイルを改ざんされていないか?
3) バックドアを仕掛けられてないか?
4) システムファイルが消されてないか?
5) アカウントを作成されていないか?
6) コマンドモジュール達が改竄されていないか?
この6点の確認が大事となる。これを順を追ってみて行く。
さっき、アクセスを物理的に遮断としましたが、これが一番大事です。まずはとにかく遮断。
【ログイン履歴の確認】
・wコマンドで他のユーザがいないかを確認。
・lastコマンドでログイン履歴を確認。
ここで怪しいユーザのログインが確認されていたらそれはアウト。
※ただしここで表示がされていなくても、lastコマンド自体を改ざんされている可能性もある。出来るなら、まっさらなコマンドを再インストールして使った方がよい。
・ログの確認。
SSHのログを調査。
[html]
# less /var/log/secure | grep "session opened for user" | less
# less /var/log/secure | grep "Invalid user" | less
# less /var/log/secure | grep "failure" | less
[/html]
色々な関連ワードで精査して見ましょう。
今回は、数ヶ月前にテストで作成したユーザがなぜか最近ログインが記録されていることが判明。
ここからは、今マシンの状態がどうなっているか?の確認。
バックドアが作られている可能性もあるので慎重に見てみよう。
【プロセス確認】
[html]# ps -aux[/html]
見た事のないプロセスや、激増しているプロセスがないかを確認する。
今回は、sshのプロセスが大量発生していた。や、やられた。
想像通りSSHブルートフォースアタックを他に実施しているようだ。
【Listenポートの確認】
[html]
# netstat -n -l | less
[/html]
どのポートが開いているか?の確認。変わったものはなかった。
【まとめ】
今回はsshプロセスが大量に起動していることから、取り急ぎプロセスを切りました。
そして、パッチがあるパッケージはすべてアップデート。再起動。
他にも改ざんのおそれがあるので、時期を見てOSの再インストールをします。
SSH設定が甘かったのを突かれて、不正ログインをされ、SSHブルートフォースアタックをするように仕組まれてしまいました。
対策や仕組まれた内容は別途記録しておく予定です。
![【送料無料】Linuxサーバーセキュリティ徹底入門 [ 中島能和 ]](http://hbb.afl.rakuten.co.jp/hgb/?pc=http%3a%2f%2fthumbnail.image.rakuten.co.jp%2f%400_mall%2fbook%2fcabinet%2f2389%2f9784798132389.jpg%3f_ex%3d240x240&m=http%3a%2f%2fthumbnail.image.rakuten.co.jp%2f%400_mall%2fbook%2fcabinet%2f2389%2f9784798132389.jpg%3f_ex%3d80x80)
【参考リンク】
これらは非常に参考になりました。
Kozupon.com – クラックされちゃった(でも落ち着いて対処しよう)!
http://www.kozupon.com/crack/crack3.html
バックドアとのつき合い方
http://www.hawkeye.ac/micky/network/backdoor.html