サーバー運用するって大変だな。
Wednesday, January 31, 2007
コンピューターチック話です。興味のない方はよまないで、、、
ある日、うちの、ガキタマサーバーのログから、メールが来た。
昨日の昼休み、あなたの、ガキブロ開発テスト用のアカウントから、
特権ユーザーになろうとして、失敗した奴がいるよ!!!
なんて、メールが、届いた。
こりゃ、大変だ!、ハッキングされちゃった?
結構注意深く調べた。
俺のサーバーひょっとして、乗っ取られたのかなあ。
だとしたら、例えば、普通にtelnetでログインして、ログとかをviewコマンドとかで調べてたら、
俺が乗っ取られたと、疑ってるのがばれるから、本格的な攻撃が始まるんじゃないの?
で、、、、ログを残さないように、自分のサーバーを覗く方法を考えて、いろいろ調べてたら、、、
俺って心配性なんだな。多分。でも、ほんとさっき書いたようなメールが来ると、びくっとしちゃう。
でも、いろんなログ見てると、ASD.TJ.CNっていうチャイニーズのマシンから、物凄いトラフィックの、
攻撃を受けてる痕跡があっちこっちに出てくる。
ホント、やばいなあ。
、、、
で、痕跡を残さないように、いろいろと探ってみたら、、、
冒頭に書いた、これ。
> ある日、うちの、ガキタマサーバーのログから、メールが来た。
> 昨日の昼休み、あなたの、ガキブロ開発テスト用のアカウントから、
> 特権ユーザーになろうとして、失敗した奴がいるよ!!!
> なんて、メールが、届いた。
これ、間違い。正確には、
ある日、うちの、ガキタマサーバーのログから、メールが来た。
昨日の昼休み、じゃなくて、1月29日の昼過ぎにあなたの、ガキブロ開発テスト用のアカウントから、
特権ユーザーになろうとして、失敗した奴がいるよ!!!
なんて、メールが、届いた。
ってことだった。で、1月29日ってのは、よく見ると、2006年の話だった。
で、2006年の1月29日は、日曜日。
覚えてないが、去年の今日の、休日の昼間に、パスワード入れ間違った、とかした、、、ということですね。
チャンチャン
えっと、技術的な言い方をすると、
auth.logは、全然ローテーションされず、昔のが残ってる。
その中から、前日の日付にあう、やばそうなメッセージを、俺にメールしてくる。
ASD.TJ.CNは、所詮、BOTで、いろいろと、見に来るだけらしい。(?)
ってことです。
ほんと、人騒がせな。。。
ある日、うちの、ガキタマサーバーのログから、メールが来た。
昨日の昼休み、あなたの、ガキブロ開発テスト用のアカウントから、
特権ユーザーになろうとして、失敗した奴がいるよ!!!
なんて、メールが、届いた。
こりゃ、大変だ!、ハッキングされちゃった?
結構注意深く調べた。
俺のサーバーひょっとして、乗っ取られたのかなあ。
だとしたら、例えば、普通にtelnetでログインして、ログとかをviewコマンドとかで調べてたら、
俺が乗っ取られたと、疑ってるのがばれるから、本格的な攻撃が始まるんじゃないの?
で、、、、ログを残さないように、自分のサーバーを覗く方法を考えて、いろいろ調べてたら、、、
俺って心配性なんだな。多分。でも、ほんとさっき書いたようなメールが来ると、びくっとしちゃう。
でも、いろんなログ見てると、ASD.TJ.CNっていうチャイニーズのマシンから、物凄いトラフィックの、
攻撃を受けてる痕跡があっちこっちに出てくる。
ホント、やばいなあ。
、、、
で、痕跡を残さないように、いろいろと探ってみたら、、、
冒頭に書いた、これ。
> ある日、うちの、ガキタマサーバーのログから、メールが来た。
> 昨日の昼休み、あなたの、ガキブロ開発テスト用のアカウントから、
> 特権ユーザーになろうとして、失敗した奴がいるよ!!!
> なんて、メールが、届いた。
これ、間違い。正確には、
ある日、うちの、ガキタマサーバーのログから、メールが来た。
昨日の昼休み、じゃなくて、1月29日の昼過ぎにあなたの、ガキブロ開発テスト用のアカウントから、
特権ユーザーになろうとして、失敗した奴がいるよ!!!
なんて、メールが、届いた。
ってことだった。で、1月29日ってのは、よく見ると、2006年の話だった。
で、2006年の1月29日は、日曜日。
覚えてないが、去年の今日の、休日の昼間に、パスワード入れ間違った、とかした、、、ということですね。
チャンチャン
えっと、技術的な言い方をすると、
auth.logは、全然ローテーションされず、昔のが残ってる。
その中から、前日の日付にあう、やばそうなメッセージを、俺にメールしてくる。
ASD.TJ.CNは、所詮、BOTで、いろいろと、見に来るだけらしい。(?)
ってことです。
ほんと、人騒がせな。。。
コメント#158
技術的な追加メモ。
私のfreebsdの、/etc/newsyslog.confの内容はこうでした。
(触ってないので、freebsdの、5.4ぐらいだか、入れたときのままなので、
人それぞれで、違うと思う。
# logfilename [owner:group] mode count size when flags [/pid_file]
[sig_num]
/var/log/auth.log 600 7 100 * JC
auth.logは、100Kbyteを超えないと、ローテーションされません。
俺の場合4年ぐらい経たないとローテーションされない。で、7世代残すので、28年分残ることになる。
whenのところが*になってるが、1年、とか設定すると、多分、今回の問題は起こらなかった、ということかな、、、、
と思ったが、/etc/periodic/security/800.loginfail を、見たら、ローテートされて、圧縮されたファイルまで、解凍して、調べるようになってた。
ので、1ヶ月おきにローテーとして、12世代とか残すようにしなきゃだめか。
# logfilename [owner:group] mode count size when flags [/pid_file]
[sig_num]
/var/log/auth.log 600 12 * $M1D0 JC
ってな感じかな。
早速設定してみよ。テストするのも面倒なので、結果が出るのは1年後です。
といいつつ、ある程度、動作確認しちゃった。
/var/log/auth.log 600 10 * $M1D0 JC
countを12にしたら、0から12の13個のbz2と、本物の、14個残っちゃうので、10かな。
いずれにせよ、1年後だね。
|たなか|
Thu,Feb- 1 02:00|
コメントする
トラックバック
この記事へのトラックバックURL:
これまでに受信したトラックバックはありません。