●外部からの不正侵入の可能性について

　ホストが不正侵入を受け、不正アクセスの中継サイトとして利用されている
可能性がある場合、外部から不正アクセスを受けていないか、あるいはその
他不正使用の痕跡が残されていないかを確認するためのチェックポイントに
ついて、以下の場所に参考となるドキュメントがあります。また同じディレクトリ
にある他の文書も参考になります。

  ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/intruder_detection_checklist

  特に sendmail、Network News、cgi-bin、IMAP、statd 等のセキュリティ上の
弱点を使用したパスワード搾取等の不正アクセスにつきましては、以下の資料
が、参考になります。

<sendmail について>
  http://www.jpcert.or.jp/info/97-0001/

<Network News について>
  http://www.jpcert.or.jp/info/97-0002/

<Web の cgi-bin について>
  http://www.jpcert.or.jp/info/97-0003/

<IMAP について>
  http://www.jpcert.or.jp/info/97-0004/

<statd について>
  http://www.jpcert.or.jp/info/98-0001/


●パスワード変更について

  パスワードを見破られ不正侵入を受けている場合には、セキュリティホールを
除去した後、ルートを含むすべてのアカウントのパスワードを変更することを
お奨めいたします。


●対策について

  一度ホストに侵入されますと、一般的に cracker は裏口 (back door) の
設置を行います。よって、パスワードの変更を行っても他の方法で再び侵入
される可能性があります。引き続き不審なホストからのリモート・ログインの
監視を続けることをお勧めします。

  また、一度侵入されてしまうと、アンダーグラウンドで被侵入サイトの情報が
流されたりする場合もございます。そのような場合には、対策を施してある
ホストへの侵入を未然に防いだとしても、引き続き同一サイト内にある他の
マシンへの不正アクセス (の試み) が継続する場合もございます。

  tcp_wrapper のようなツールの導入により、外界からの接続を監視・規制
することも、今後の不正アクセス対策として効果的です。また、アクセス制御
機能だけでなく、「ドメイン somewhere.co.jp からリモート・ログインの接続が
あったときに、管理者にメールを送信する」といった設定ができるようになり
ます。

  tcp_wrapper は以下の URL から入手することができます。

        ftp://ftp.jpcert.or.jp/pub/cert/tools/tcp_wrappers/

　もし侵入が再発するようでしたら、back door を除去するため、OS の
バージョンアップを含めた、システムの再インストールをご検討されること
をお奨めいたします。


●一般的な対策として

  ・現在お使いの OS、各種ネットワーク・アプリケーション等について、
最新版あるいはセキュリティ・パッチの公開・配布状況をご確認頂き、
できる限り最新の状況にシステムを維持されることをお勧めいたします。

  ・当該ホストを含め、インターネットからアクセス可能なホスト全てについて、
各ホストが提供しているネットワーク・サービス (典型的には、
 /etc/inetd.conf にて定義) をご確認頂き、不要なネットワーク・サービスを
停止されることをお勧めいたします。

  ・上記ネットワーク・サービスで、どうしても必要なものがあれば、それら
すべてについてセキュリティ対策が施されているか、再度ご確認頂くことを
お勧め致します。