- - PR -
tripwireでファイルの改竄を発見
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2003-06-04 01:01
RedHat Linux8.0で自宅サーバを運用していますが、今般、tripwireのログから結構派手なファイルの改竄があったことが判明しました(lsやps等のコマンド類も多数・・・)。
因みにchkrootkit-4.0やSophos anti-virusで検索をかけても異常は検出されませんでした。 何らかの攻撃を受けていると思われるため一旦サーバは閉鎖することとしますが、up2dateにより最新の状態にしているにもかかわらず、こんなに簡単にファイルが改竄されてしまうものなのでしょうか? ルーターで開けているポートは「80:http」と「25:smtp」のみで、その他のサービス(pop、ftp)についても稼働はさせていますが、tcp-wrapper、iptable、xinetdによって外部からの接続を遮断しています。 webサーバ(apache)とsmtpサーバ(sendmail)は、RedHatのHP掲載の最新状態になっています。 サーバ再開に向けて、どのような攻撃を受けているのか、また攻撃を防止する方法を知りたいのですが、どなたかご教授願います。 |
|
投稿日時: 2003-06-05 20:44
うぉー、心からお悔やみ申しあげます。ほんと、クラッキングする人って、ひどい!!犯人捕まえたいですね!うむぅ、我が事のように腹が立つ。
時計じかけさんの様子では、むしろ普通よりも高いレベルのセキュリティが保たれていたように見受けられます。にも関わらず…。 僕も時計仕掛けさんのサーバーの状態と、ほとんど同じです。いやむしろ、時計じかけさんより悪いと思う…。 マニュアルどおりのセキュリティ対策では、実際のところ防ぎきれないということはうすうす知ってはいたものの…そんなハイレベルなセキュリティを施すのは、実際のところ難しい。 僕が管理してるサーバーはデータセンターに入っているんですが、それでも鼻毛ほど?にしか安心できないですよね。 明日は我が身と思って、今日はしっかりセキュリティチェック&バックアップしよ。 誰か、このスレッドに強力なアドバイスを!哀れな時計じかけと呂布に慈悲を! |
|
投稿日時: 2003-06-05 23:05
こんばんわ。
データベースの更新はしてるんですよね? ちなみに、何のファイルが改竄されていますか? #出来るだけ詳細 |
|
投稿日時: 2003-06-06 11:56
こんにちは
tripwire って up2date 等で更新をしても、tripwire --init 時の記憶を違うものを 見つけたら報告してきますよね。(更新したからって事じゃないですよね?) とりあえず改竄されているものを rpm コマンドでチェックしてみて下さい。 例えば ls だったら $ rpm -Vf /bin/ls とかでパッケージに含まれるものをチェックしてみて下さい。 出てくる内容の詳細は、 http://www.jp.redhat.com/manual/Doc80/RH-DOCS/rhl-cg-ja-8.0/s1-rpm-using.html 5,S,M,U,G とかが出てこなければ大丈夫じゃないですかねー。 気に成れば、redhat のサイトやCDから、再度パッケージを入れなおして見るのも いいかもです。 |
|
投稿日時: 2003-06-07 10:01
みなさん ありがとうございます。レスをいただいただけで心強くなりました。
まず、tripwireのデータベースですが、6月1日にup2dateしたあとに--initを行い、データベースの更新を行いました。 6月2日 cronでのtripwire実行では問題なし。 6月3日 cronでのtripwire実行では問題発生!! 6月2日から3日にかけてのup2dateおよび--initは行っていません。その他の手動でのアップデートも行っていません。 Nishizakaさんに教えて頂いた、rpm -Vf で、ls、ps、find等をチェックしましたが問題ありませんでした。 なお、tripwireで報告されたファイルは膨大なのですが、なじみのあるものでは /sbin/route /sbin/chkconfig /sbin/halt /sbin/init /sbin/service /sbin/shutdown /bin/chgrp /bin/chmod /bin/chown /bin/mount /bin/umount /bin/mkdir /bin/pwd /bin/uname /bin/ls /bin/ps /bin/rpm /bin/su /bin/vi きりがありません。 rpmが変更されたらNishizakaさんのrpm -Vfの結果もあてにならないのかもしれませんね。 実際のrootkitでどの程度のファイルを書き換えるのか知りませんが、ここまで派手にやるものなのでしょうか? それとも、6月2日から3日にかけて、自動的にup2dateされたのでしょうか(up2dateのログではそんな記録はありませんでしたが)? また、私の勘違い、もしくはtripwireの誤チェックなのでしょうか。 原因がはっきりしないと、再インストールしても同じことの繰り返しいになりそうなので、なんとか解決したいです。 |
|
投稿日時: 2003-06-07 10:33
|なお、tripwireで報告されたファイルは膨大なのですが、なじみのあるものでは
というか、なじみでない物が見たかったのですが…。 ちなみにデータベースを初期化してからは、何もしてないんですよね? #確認ですが |
|
投稿日時: 2003-06-07 10:57
どうもです。
質問です。 1.6月1日にup2dateされたパッケージは? 2.ファイル改竄以外にサーバに異常なことはありますか? (例えば、アクセスログなど) 3.改竄されているファイルは/bin内ばかりなのですか? まあ、今思いつく質問はこれくらいですが改竄されているのは バイナリ(データ)ばかりなのでしょうかね!? まあ、バイナリエディタなどで改竄されたと思われるプログラムと 正常なプログラムを比較検証していくしかないでしょうね。 大変な作業となりますが・・ |
|
投稿日時: 2003-06-07 22:38
>punkさま、hawkmoonさま、
恥をしのんで、tripwireおよびup2dateのログ等を以下にアップロードしました。 こんなのでよろしいでしょうか? データベースを初期作成する際に、手を抜いて、存在しないファイルをコメントに していないのでエラーだらけです。 尚、一部、プライバシーにかかる部分は「********」に変更してあります。 データベースを初期化したあと、webブラウズ等はしたと思いますが、プログラ ムのインストールや再起動等はしていません。その日も帰りが遅かったので、 大したことはできなかったはずです・・・。けれども、だんだん自分が何をやっ たか自信がなくなってきてしまいました。 大変お手数をおかけします。 http://www.geocities.co.jp/SiliconValley-PaloAlto/6617/ |
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。