4月19日 Webサーバダウン深夜3時頃、Webサーバがダウンしました。深夜に、たたき起こされて、早速調査を開始しました。とにかく、ファイルのアクセス権がめちゃくちゃになっていたので、手作業で修復しました。 何回かやっているうちに、何とか起動はしました。しかし、ディスクに書き込みをすると不正なアクセス権となり、掲示板などのCGIがほぼ全滅に近い状態で、Webを参照するだけならば、なんとか参照可能でした。 しかし、去年の12月までは、セキュリティのことなど全く知らなかった初心者を攻撃しても、何が面白いのでしょうかね。 4月20日 データの待避と移動詳しく調査する前に、まずデータの待避と移動を行いました。ただ、このようなことは初めてだったので、準備不足でいろいろと手間取りました。 Webサーバは、アクセス権不正で頻繁にダウンするみたいです。また、メールの送受信もおかしいので、別のプロバイダへ送信依頼したり、電話での連絡に切り替えてもらいました。 今後、トラブルが発生した場合の復旧手順や連絡体制を整備する必要がありそうです。 4月21日 調査開始サーバを調査するうちに、クラッカーの置き土産を発見しました。ソースを解析すると、裏口機能付きのトロイの木馬であるらしいことが、わかりました。 そこで、予備の486マシンに、ディスク500MBを増設して、LINUXの再セットアップをしました。予備サーバに置換して、なんとか復旧することができました。 4月22日 休息日数日間、あまり寝ていなかったため、ゆっくり睡眠をとることにしました。 4月24日 ログ解析さて、週末の時間を利用して、またまた、ログ解析作業です。 さすがに、去年の11月から、次から次へと侵入され続けているため、ログ解析の手順も慣れてきました。 私は、セキュリティには全く興味がないので、意味がないのですが、必要なことなのでやるしかありません。 「トロイの木馬事件」調査報告書を作成しました。 その他の不正アクセスの記録を作成しました。 4月25日 対策対策として、ashでは、ローカルネットワーク化を実施することにしました。 そこで、プロキシーサーバによるアクセス制限などを検討しました。 内容につきましては、ashホームページを参照下さい。 4月27日 報告また、今までの侵入状況を以下の団体に報告しました。 それぞれの報告内容を参照することができます。 4月29日 継続調査過去のイスラエルからのハッカー観察日記への参照状況とアクセス記録を、調査してみました。 httpd のログの内容と、シスログの内容を調査しました。 また、トロイの木馬によるパスワード情報の格納されたログファイルを発見しました。 そのため、「トロイの木馬事件」調査報告書を更新しました。 トロイの木馬により、当サイトの運用が一時停止したことを、お詫び致します。今後、このようなことがないように、セキュリティを強化していきますので、よろしくお願い致します。 |