BBS過去ログ |
| ■目次 |
CGIの件もまだ片付かないのにスレッド揚げて失礼します。
どうもメールが不安定と思っておりましたが、イントラ環境に戻るとCronDaemonさんから「Checking `bindshell'... INFECTED (PORTS: 465)」というメールが参りました。
この場合どの様に対応するのが正解なのでしょうか?
まだ公開告知もメールも人には出していないのですが・・・・・??
ご教授いただければ幸いです。
おじんです。暫定的に採った対策です。
PostfixとDovecotをSTOP。F-Protを手動スキャン。
/var/log/f-prot_scan.logの内容は以下でした。
Virus scanning report - 16 June 2004 @ 20:57
F-PROT ANTIVIRUS
Program version: 4.4.2
Engine version: 3.14.11
VIRUS SIGNATURE FILES
SIGN.DEF created 14 June 2004
SIGN2.DEF created 14 June 2004
MACRO.DEF created 14 June 2004
Virus scanning report - 16 June 2004 @ 20:57
F-PROT ANTIVIRUS
Program version: 4.4.2
Engine version: 3.14.11
VIRUS SIGNATURE FILES
SIGN.DEF created 14 June 2004
SIGN2.DEF created 14 June 2004
MACRO.DEF created 14 June 2004
Search: /
Action: Automatic disinfection
Files: "Dumb" scan of all files
Switches: -ARCHIVE -PACKED -SERVER
/var/tmp/webalizer-root/usr/lib/debug/usr/bin/webalizer.debug could be infected
with an unknown virus
Viruses cannot be disinfected unless they are identified.
Results of virus scanning:
Files: 76167
MBRs: 0
Boot sectors: 0
Objects scanned: 84534
Infected: 0
Suspicious: 1
Disinfected: 0
Deleted: 0
Renamed: 0
疑わしい・・・・・という意味ですよね?(Suspicious) こんな場合のアドバイスを頂戴出来ましたら・・・・・
おじん様、こんばんわ。
問題のbindshellとは、chkrootkitがrootkitを検知したものです。
(ウィルスではないです)
これは、当サイトの説明にもあるとおり、クラッカーが不正侵入に成功したあと、次からの侵入を容易にするためや、不正侵入の痕跡を残さないようにする等の一連の手順を自動実行してくれるような、不正侵入必携(?)のツールです。
結果だけを直で判断しますと、クラッカーにより不正侵入され、bindshellというrootkitをおかれてしまったということになります。
ただし、実は当サイトでも大分前(FC1の頃)から同じ事象が発生してまして、FC2への移行とともにシステムを再構築したのですが、今回もpostfix+sslを導入した契機でbindshellがまた検知され始めました。
私もさんざん調べたのですが、どうも本当に不正侵入されたようには思えないので、いまのところは、chkrootkitからのメッセージは無視して継続運用してますが、本来なら、即システム再構築すべきです。
chkrootkitからのメッセージにもある、465はSMTP+SSLのポート番号で、Postfix+SSLを導入した契機で検知し始めることから、chkrootkitが誤検知してるのでは?とも思ってます。
実際に、chkrootkitが誤検知することがあるような記述もみつけました。
でも一応、不安なので、ポート465は閉じてます。
外部でメールを使用する場合はWebメールをSSL経由で使用しています。
とはいっても、もし、本物のrootkitであれば、がんがん不正侵入されて、自サーバのみならず、他サーバへの攻撃の踏み台にされて、自分の知らないうちに、もしかしたら、とんでもないサーバ(国の重要サーバ等)に攻撃を仕掛けている可能性もありますので、近々、システムを再構築する予定ではいます。
外部にサーバ公開を周知した、しないは関係なく、ドメイン名で外部からアクセスできるようになってさえいれば、クラッカーからすればいくらでもドメイン名を知る手段はあるようです。
このまま継続運用されるか、システムを再構築するかは、おじん様ご自身で判断してください。
アドバイスありがとうございます。
通信ログや通信状況を見ましても今のところ異常は無いようです。
でも、アドレス公開もしていないのに検索ロボットやら何やら沢山来るものですね。ドメイン登録した一つをこのIPに向けただけなんですが。
別のcgiの問題がありますので、別のミラーマシンを組もうとしております。また、どうもメールが変なのが直らないのでそちらは古いノートに向けようとも思っております。
ミラーマシンを組む際にどこまでバックアップが使用できるか?
また、してよいのか?
あるいは移行の際に有効なツールなどありましたらご紹介戴けませんでしょうか?
宜しくお願い申し上げます。
おじん様、こんにちわ。
> 通信ログや通信状況を見ましても今のところ異常は無いようです。
もし本物のrootkitが設置されていれば、このような情報も記録されないようにされている可能性があるので、ログも信用できないです。
> でも、アドレス公開もしていないのに検索ロボットやら何やら沢山来るものですね。ドメイン登録した一つをこのIPに向けただけなんですが。
確かに、ドメイン名を取得すると1週間くらいでいろんなアクセスがありますね。そのほとんどがMSのIIS向けのウィルスなので、Apacheにはなんの影響もありませんが。
> ミラーマシンを組む際にどこまでバックアップが使用できるか?
> また、してよいのか?
基本的には、rootkitが検知された場合、全てのファイルが信用できないということになってしまいますが、個人データ等は普段からバックアップをとっていなければどうしようもないので、個人データのみバックアップをとり、その他(各サーバデーモンの設定ファイル等バックアプしたいと思いますが)は破棄すべきでしょうね。
> あるいは移行の際に有効なツールなどありましたらご紹介戴けませんでしょうか?
もういっこ、Linuxマシンをネットワーク内に上げるのであれば、rsyncでミラーリングするのがいいと思います。rsyncはパーミッションや所有者情報等含め、全く同じ状態にすることができます。
アドバイスありがとうございます。
もともとFC2のインストールが出来ない(再起動の連続)が発生しておりましたC3マシンですので、財布と相談して別のサーバを検討します。
静音と思っておりましたが、実際に運用してリモートで全てが出来るのが実感できましたので、少しくらいファンを回して安定させたCelelonマシンでも探すか作ろうと思います。
(最初は実は早めに手に入れた玄箱でLinuxに触りなおし、本気で取り組むために1台FANLESSの専用機を組んだのです。)
暫くは様子を見ながら子供のページコンテンツを動かしております。
このページが無かったら、ほんとに感染していたとしても気づかずに、人に迷惑をかけたかもしれません。ありがとうございます。
おじん様、こんにちわ。
Postfix+SSLの設定を解除後にchkrootkitを実行したらbindshellは検知されなくなりました。また、そのあとですぐにPostfix+SSLの設定をして、chkrootkitを実行したらbindshellが検知されました。
やはり、Postfix+SSLを誤検知しているような気がします。
う、やっぱりそうですよね。FC2でもそうなんでしょうか?
解決策は当面ないですよねぇ。
しばらく放置プレイで、明日からの週末でFC2サーバを構築する予定にしました。セレロン2.4/256/160G位で3万と見ています??
他の問題もありますので、マシン比較しながらご報告申し上げます。
おじん様、こんばんわ。
> う、やっぱりそうですよね。FC2でもそうなんでしょうか?
FC2でも同様でした。
> 解決策は当面ないですよねぇ。
そうですね。Postfix+SSLを使用せず、WebメールをSSL(https)で使用するかですね。
そうすれば、とりあえずはchkrootkitからrootkit検知は来なくなりますし。
ただ、どこかのサイトに誤検知するということが書いてましたので、それが今回のケースにも当てはまるのか調査してみようと思います。
>
> しばらく放置プレイで、明日からの週末でFC2サーバを構築する予定にしました。セレロン2.4/256/160G位で3万と見ています??
> 他の問題もありますので、マシン比較しながらご報告申し上げます。
がんばってください。もう私もいろんなマシンに何度もOSインストールをやりました。