ハッキングに遭って、踏み台にされた話




投稿日:

知り合いのサーバが不正アクセスにあい、踏み台サーバにされてしまいました。
何かの為にもなればと思うのでまとめておきます。

発見のきっかけになったのは、インターネットの契約会社から、
「契約IPから不正アクセスが確認されている。至急調査を求む。」と来た連絡でした。

自IPから他のIPにむけてsshログインを高速で繰り返している、という話でした。
つまり、SSHブルートフォースアタックを他に実施している!?

ということは、、
踏み台にされて他への攻撃に加担してしまったということなのか。怖い。ということで、外部とのアクセスを物理的に遮断。調査開始。


【被害状況の確認】

大事なのは、ハッキングをされた事で何をされたかというのを特定する事。


このサイトによると、
http://www.kozupon.com/crack/crack3.html

1) 踏み台にされていないか?
2) ファイルを改ざんされていないか?
3) バックドアを仕掛けられてないか?
4) システムファイルが消されてないか?
5) アカウントを作成されていないか?
6) コマンドモジュール達が改竄されていないか?
この6点の確認が大事となる。これを順を追ってみて行く。

さっき、アクセスを物理的に遮断としましたが、これが一番大事です。まずはとにかく遮断。

【ログイン履歴の確認】

・wコマンドで他のユーザがいないかを確認。

・lastコマンドでログイン履歴を確認。
 ここで怪しいユーザのログインが確認されていたらそれはアウト。
※ただしここで表示がされていなくても、lastコマンド自体を改ざんされている可能性もある。出来るなら、まっさらなコマンドを再インストールして使った方がよい。

・ログの確認。
 SSHのログを調査。

 
# less /var/log/secure | grep "session opened for user" | less
# less /var/log/secure | grep "Invalid user" | less
# less /var/log/secure | grep "failure" | less

色々な関連ワードで精査して見ましょう。

今回は、数ヶ月前にテストで作成したユーザがなぜか最近ログインが記録されていることが判明。

ここからは、今マシンの状態がどうなっているか?の確認。
バックドアが作られている可能性もあるので慎重に見てみよう。

【プロセス確認】

# ps -aux

見た事のないプロセスや、激増しているプロセスがないかを確認する。
今回は、sshのプロセスが大量発生していた。や、やられた。
想像通りSSHブルートフォースアタックを他に実施しているようだ。


【Listenポートの確認】

# netstat -n -l | less

どのポートが開いているか?の確認。変わったものはなかった。


【まとめ】

今回はsshプロセスが大量に起動していることから、取り急ぎプロセスを切りました。
そして、パッチがあるパッケージはすべてアップデート。再起動。

他にも改ざんのおそれがあるので、時期を見てOSの再インストールをします。

SSH設定が甘かったのを突かれて、不正ログインをされ、SSHブルートフォースアタックをするように仕組まれてしまいました。

対策や仕組まれた内容は別途記録しておく予定です。



【参考リンク】

これらは非常に参考になりました。

Kozupon.com – クラックされちゃった(でも落ち着いて対処しよう)!

http://www.kozupon.com/crack/crack3.html

バックドアとのつき合い方

http://www.hawkeye.ac/micky/network/backdoor.html