- PR -

システムが乗っ取られてしまった?

«前のページへ 1|2
投稿者投稿内容
けい
会議室デビュー日: 2003/11/11
投稿数: 9
投稿日時: 2003-11-18 10:17
どうもです。
しばらくセットアップで四苦八苦してました。

おばけさん、ちばさん、がるがるさんコメントありがとうございます。
結局、早く復旧させたかったので、本の付録であったRedHat7.2をインストールしました

が、しかし、iptables が使えない?!?!って状態にあり、この際ってことで
カーネル2.4-22とモジュールをダウンロードしてコンパイルしてました。
まだ、使える状態にはなっていませんが。。
昔と違ってバージョンが7になってからいろいろと変わっているので苦労してます。

おばけさんのおっしゃるとおり、SSHでログインできるユーザからはsuを許さないとか
考えつつ、あれ、SSHでいきなりrootでログインできてしまった…などで勉強不足を痛感
いろいろ調べている次第です。
鍵認証もいまひとつ分からず、これまた調べています。
とにかく個人で使っているので安全性第一優先で構築していきます。

それにしてもマシーンがcx486 の50MHzでコンパイルは異常に時間がかかりました(笑

コメントありがとうございました。
けい
会議室デビュー日: 2003/11/11
投稿数: 9
投稿日時: 2003-11-28 11:06
ふたたび、自己返信です

カーネルをコンパイルしてからしばらく触っていなかったのですが
今日、見てみると/root ディレクトリに

dead.letter という1バイトのファイルがありました。

dead というのが大変気になります。
予告状でしょうか。。
それとも、システムが警告として出力したものでしょうか?
まだ、iptables などなどセキュリティ面は何もしてないので。。

現状のルーターは、80と22しか穴が開いていないですが。。
こういった状況ご存知の方、コメントお願い致します。
taro
ぬし
会議室デビュー日: 2003/10/20
投稿数: 316
投稿日時: 2003-11-28 11:33
はじめまして。

Linuxは勉強中で詳しくないのですが、
/root直下のdead.letterはsendmailがメール送信エラー時に
作成するファイル名と同じです。
何かヒントになるでしょうか?
H2
ぬし
会議室デビュー日: 2001/09/06
投稿数: 586
お住まい・勤務地: 港
投稿日時: 2003-11-28 11:39
$> man mail

とすると分かります。
瀬戸っぷ
ベテラン
会議室デビュー日: 2003/11/28
投稿数: 56
投稿日時: 2003-11-28 12:21
引用:

結局、早く復旧させたかったので、本の付録であったRedHat7.2をインストールしました
が、しかし、iptables が使えない?!?!って状態にあり、この際ってことで
カーネル2.4-22とモジュールをダウンロードしてコンパイルしてました。
まだ、使える状態にはなっていませんが。。
昔と違ってバージョンが7になってからいろいろと変わっているので苦労してます。


RedHat Linux 8.0以前はiptablesでなくipchainsだったかと…
どちらにしろ、設定に慣れないと大変そうです。
(私もまだ理解出来ていませんが、いろいろなサイトを見て設定しています)
iptablesだと、接続時などにsyslog出力できるようです。
(私は後述の環境で自ネットワーク以外からの接続要求の時にLOG出力するようにしました)

引用:

おばけさんのおっしゃるとおり、SSHでログインできるユーザからはsuを許さないとか
考えつつ、あれ、SSHでいきなりrootでログインできてしまった…などで勉強不足を痛感
いろいろ調べている次第です。
鍵認証もいまひとつ分からず、これまた調べています。
とにかく個人で使っているので安全性第一優先で構築していきます。


自宅でRedHat9で入れてみました。(BBルータ内に存在します)
会社からSSH2での接続テストもしてみました。
接続成功したのでそのままshutdownコマンドでシャットダウンさせましたが。
(失敗しても昼過ぎにシャットダウンできるように設定)
普段は夜にWeb巡回する時にSquid使っているだけですが…(ntpも動いてはいる)
接続元にLAN内のローカルIPアドレスと、会社のゲートウェイのIPアドレスのみを許可する設定に。

会社ではWindows環境なので、SSHクライアントとしてGuevara(http://www.routrek.co.jp/product/guevara.html)を使用しました。
もちろん公開鍵方式での接続で……
けい
会議室デビュー日: 2003/11/11
投稿数: 9
投稿日時: 2003-11-28 17:56
taroさん、H2さんへ
ありがとうございます。
どうやら dead.letter は侵入者の警告メールではないようですね
cron 設定で沢山メールが出力されていて、それの悲鳴かもしれません
ひたすらデリートして、cron 設定を変えました。
5分おきにシェルを走らせるように設定してしまってました(笑
いずれにしろ、また進入された!再インストールということは
避けられました。ありがとうございます
他にもコメントありましたら、ヨロシクお願い致します

瀬戸っぷさんへ
ありがとうございます
RedHat Linux 8.0以前はiptablesでなくipchainsみたいですね。。

しかも、バッティングしないように ipchains を停止させて
iptables を設定しないといけないみたいです。
最新のRedHat9をインストールしたいところですが、cx486では
動作しないんですよね。Pentium以降でないと。。

SSHクライアントとしてGuevara はよさげですね。。
.NET Framework が必要なところが気になりますが。。
他にもコメントありましたら、ヨロシクお願い致します
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)