|
>前にクラックにあっているサーバーが直ぐ近くに 物騒な話ですね。こうなると再インストールしかないです。 近くのサーバーもやられてる可能性が高いような気がします。 とりあえず/etc/inetd.confの不必要なエントリをコメントアウトして killall -HUP inetd あと/etc/hosts.allow、/etc/hosts.denyでtcpwrapper の設定をするのが吉かと telnetの代わりにsshを使ったほうが心臓に良いです。 たしかtera termを拡張したttsshってやつがあったと思いますが #もう対策されてたならすみません |
|
やですね〜。クラックされるのは。 ちょっと前に知り合いのLinuxがクラックされてました。 すぐに気づいて、そのとき作成されたらしいファイルを 消したんですが、数日後また同じようにクラックされて しまい、とうとうサーバをFreeBSDに代えてしまいましたとさ。 クラック自体より、どこの穴をつかれたのかがわからないのが 一番恐いですね。 |
|
どうもです。 いろいろ助言下さってありがとうございます。 >こうなると再インストールしかないです。 もちろん既に、マシンごと新しくなってます。 >クラック自体より、どこの穴をつかれたのかがわからないのが >一番恐いですね。 これが一番恐いのだけど、最近リモートIPもごまかしたり、たまにログでリモ ートのIPがunknownって出る奴が有るのですが、これってどうしてるのでしょ うか? #愚問でしたね。こんな公の場で書けるわけないですね。(^^ゞ >telnetの代わりにsshを使ったほうが心臓に良いです。 >たしかtera termを拡張したttsshってやつがあったと思いますが すいません未対策です。って言うかsshって知りません。(^^ゞ セキュリティー対策の物ですか? messagesの件ありがとうございます、多分LANの中で一台設定不良でネットワ ークを参照できないマシンが在ったので、そいつのDHCPリクエスト失敗が原因 だと思います。 #そういう事にしておこう。(^_^)V ところで、皆さんセキュリティーに関してはどう考えてます? うちのwebサーバーは去年クラックされました。 OSはRedHotの古いバージョン(4.1)で、name,www,smtp,popが実用デーモンで その他いくつかのデーモンが上がっていましたが、前例と同じように管理者が 居なくて、ほったらかし状態。 ログローテーションもしなかったので、97年5月からのmailログが98Mbも一つ のファイルで存在してました。 #その当時Apache1.1がインストールされていたので各種デーモン類のバージ #ョンもかなり古いものだと思います。 ちなみに前のHDの内容は保存してありますが、今の管理者には穴が見つけられ ず、いつか私が解析してやろうと気持ちだけはあります。(^^ゞ #時間がないもんで...と言っておこう。 ちなみにそのサーバーをクラックしたクラチャンが /etc/hosts.allowに開けていったホストIPです。 207.204.247.250 166.93.24.146 209.99.175.1 199.183.24.253 193.164.171.29 199.183.24.253って何処だか分かります? なんとwww.redhat,comですよ! #なさけねーな、RedHatも。(; ;) どうもクラチャンは、RedHatパッケージ関係ではかなりのスキルを持っていた と思っています。 何処かのアンダーグラウンド系掲示板にでも掲載されているらしく、今でもそ のサーバーは毎日のようにアタックされています。 もちろん管理者がラッパーやルータ等で2重3重の制限しているので、接続は されていませんが、前の穴が解からないだけに少し不安です。 webアタックの代表のphf系も独自のCGIでアタックログを取っていますが、こ れって変なんです。 具体的には、1〜2秒間に3回連続でアクセスして行きますが、アクセスホスト が毎回違うんです。 なんとなく何処かのパッケージに入っている、スクリプトか何かを実行すると その中で、ここを攻撃(試験)して、多分その結果をどこかに返すのでしょうね アクセスのタイミングを見るとそんな感じです。 http://ash.or.jp/~joe/hack/index.htm このページで起きたイスラエルからの侵入事件を元に、セキュリティー関係の レポートが載ってます。 ところで/etc/passwdのパーミッションて、root/700にしたら何か問題はあ りますか? |
|
> #愚問でしたね。こんな公の場で書けるわけないですね。(^^ゞ いや、僕は方法を知らないので…(笑) > セキュリティー対策の物ですか? telnetはタイプした文字がそのままネットワークを流れますが、 sshは暗号化したデータを送るので、パケットを覗かれても大丈夫なのです。 つまりssh=secureなtelnetです。ちなみにrcpのsecure版なども 一緒についてきます(scp)。 もちろんsshクライアント/sshサーバが必要です。FreeBSDなら portsで一発インストールできましたが、Linuxにもパッケージが 用意されてるんじゃないでしょうか。 sshをインストールできたら、telnetポートは閉じておきましょう。 > ところで/etc/passwdのパーミッションて、root/700にしたら何か問題は > ありますか? ls、finger、whoなどでユーザ名が表示されないことはありませんか? # OSにもよるでしょうが、/etc/pwd.dbなどが読めればOKかもしれません。 しかし、一般的には/etc/passwdを700にするのは変です。 パスワードエントリを隠したいということなら、shadow passwordを 導入しましょう。Linuxなら/etc/shadowだったかな? # Linuxはデフォルトでshadow化されていないのが不思議。 # ディストリビューションにもよるのかな? |
|
みなさんの話を聞いてるとびびってきました(苦笑) クラッカーに目つけられると安眠できなさそう インストールしたらすぐtripwireいれたほうがいいのかな Red Hatって見つかった穴を公開するらしいですよ たぶん新しいの買えや(笑)ということなんでしょうけど >Linuxはデフォルトでshadow化されていないのが不思議。 そう言えばIRIXは最近まで・・・ >IPがunknownって出る奴が有るのですが これ何なんでしょう 知りたい(爆) >管理者が居なくて、ほったらかし状態。 仕事やりながら管理するってきびしいと思いますよ |
|
こん**は。 >>管理者が居なくて、ほったらかし状態。 > 仕事やりながら管理するってきびしいと思いますよ 本来私の管轄では無いので最近本末転倒してますが、他に管理している 人間がいないので、勉強がてらにいろいろな情報を物色しています。 #アー目が痛い! >>IPがunknownって出る奴が有るのですが > これ何なんでしょう 知りたい(爆) ねらわれたサーバーのsecereに、 Feb 8 04:15:36 ns in.fingerd[2730]: refused connect from unknown こんな風に出ます。 ここ1ヶ月のfingerだけで66回もです。 #最近telnetのアタックは減りましたがいまだにphfアタックは...。 セキュリティー関係と、通信パケットについて詳しく解説指定ページが ありましたので紹介させていただきます。 http://www.3ware.co.jp/security/index.html ここで詳しく説明されてます。常時接続の方の参考までに。 このサイトにはLinuxについても詳しく書いてあり、前から疑問だった 起動時の設定ファイル(Winで言うところのAUTOEXEC.BATかな)も分かった し、ずいぶん勉強になりました。 >Linuxはデフォルトでshadow化されていないのが不思議。 近いうちに実験用サーバーに実装する予定です。 #できるかな〜、その時はまた教えて下さい。(^^ゞ >sshは暗号化したデータを送るので、パケットを覗かれても大丈夫なのです。 telnetの23はルーターで塞いであるし、LAN内でのアクセスなんであまり必 要性が無いですが、これも時間が出来たら試験的に導入してみたいですね。 |
|
>Feb 8 04:15:36 ns in.fingerd[2730]: refused connect from unknown 見たことないです。 #といってもアタック(スキャン)自体あまりないから知らないだけ パケット覗いてみては? >telnetの23はルーターで塞いであるし ・・・内部犯行・・なんて無いですよね(笑) |
|
どうもです。ABCDEFGさん。 >・・・内部犯行・・なんて無いですよね(笑) ははは、それは無いです。 mad.leenux.com ってとこと ugly.bastard.co.uk の2ヶ所から 進入してます。 そのクラチャンですが、ちょいと弄られた前のディスクの中を覗いて見たら、 隠しディレクトリに、いくつかのクラックソフトをお土産においっててくれ たみたい。(^^ゞ #俺ホントはこんなことやってる暇無いんだけどなぁ... #まいっか! 入られてた時、マシンに負荷が掛ってるので、おかしいなって皆で言って、何 度もリブートかけていたんです。 それでも重いので変だと思い、最近作られたファイルを探したところ発見し ました。 どうもそのマシンで、あちこちのネームサーバーを探してたみたいで、その 履歴が残っていました。 皆さんも気を付けて下さい、自分のマシンだけならフォーマットするとか出 来ますけど、踏み台されちゃ悔しいですからね。(^^ゞ でわでわ。 |
|
どうもごぶさたしてます>お師さん で、過去ログその後ですが…すみません、諦めました。 理由その壱 メインでNETに繋がってるのがMacなわけなんですが、 こいつのtelnetアプリケーションがAppleScript等に対応しない物ばかりで telnetでの自動化は不可能という結論に達しました。 理由その弐 ブラウザからの起動も考えたんですが、CPUをG3化してあるせいなのか、 2台繋いでいるHDDの片方を認識しないまま起動することが多く、 起動するHDDが特定できない、もしくは手動で再起動しないとOSが起動しないことすら ある状態です。 スクリプト自身はきちんとサーバー上で動いているんですが、 どうにも自動化のメドが立ちません。 いろいろご指導いただいた上になんなんですが、ここで正式に 過去ログ作成を断念したことをお伝えする次第です。 |
|
はじめまして。みなさん、UNIX超初心者の者ですがよろしくおねがいします。 実は今年からUNIXを習っているのですが、全然分かりません。特にShellの プロセスのあたりというか、スタンダードインプット、アウトプット、 エラーとの兼ね合いとか。。???? だれか、教えて頂けるか、良いウエブや本を紹介して頂けませんか? よろしくお願いします。 メールでもOKです。non100@excite.co.jpです。 |
|
> ここで正式に過去ログ作成を断念したことをお伝えする次第です。 それは残念。過去ログうんぬんより、いままでプログラムを書いたのに 結局うまくいかないとわかったときは がっくりきますね。 > Shellのプロセスのあたりというか、スタンダードインプット、アウトプット、 > エラーとの兼ね合いとか。。???? え〜、もうちょっと範囲をしぼっていただけると答えられるかもしれませんが、 範囲が曖昧なので…(さすがにそのあたりを全部説明するのはつらいです)。 「どこがわからないのか自分でもわからない」という状態なら、 The UNIX Super Text(上・下) 技術評論社 上下巻それぞれ3500円くらい がいいんじゃないでしょうか。 古いし(6年くらい前かな)、値段が高い、と評する人もいますが、 僕はお勧めします。ただし買うのは上巻だけでいいと思います。 |