アカウント名:
パスワード:
泣きべそ書きながらrsyncでルートキットを駆除しました
なぜまずいんですか?
それに普通って誰の普通ですか?
私もどこまでが「普通」かには自信がありませんが、企業のサーバ管理の専門家に聞いた限りでは、 rootkit 置かれちゃうレベルまで行ってたら再インストールか、最低でも HDD を取り出して他のクリーンであることがわかっているシステムに接続し復旧を試みる、という手順を踏みますね。間違っても、汚染された OS の内側から復旧しようなんて思わない。
たしかに、ただの踏み台やボットがわりに乗っ取られてたりする場合にはそこまで凝った仕掛けは施されていないことは多いでしょうが (無理して攻防戦をするよりも他のもっと弱いサーバーを乗っ取りに行った方が手間がかからない)、 それでも最近は出来合いのキットでもかなり出来のいい(というか恐しい)とも聞きますので、まぁ再インストールするか、管理者を他のもっとわかっている方に交代してもうらのがよいかと思います。
お前は駄目だ、他のものに代われ。って無責任に言うのは簡単ですね。それで世の中が完璧になればいいのに。
イントラネットならともかく、グローバルIPアドレス振られたサーバがほとんどのDCで、私のサーバ1台だけを早急にネットワークから切り離さなければいけない理由がわかりません。
ワーム経由で仕組まれるルートキットなんてたかがしれてるし、それらの検出は十分可能です。
検出できないとしてもrsyncでファイルをすべて上書きすれば十分だと思います。
ウィルスにかかったPCもそのたびにWindowsを再インストールしなければなりません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
実体験 (スコア:5, 参考になる)
DCに設置してもらってネットにつながってから色々作業しようと思ってました。
で、rootのパスワードに「123456」を設定してました。
メールで「ネットにつなぎましたよー」と連絡もらって、
さあ作業しようと思ったらログインできません。ぎゃふん。
東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。
ワームに犯された上、ルートキットを孕ませられてしまったので、
passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
泣きべそ書きながらrsyncでルートキットを駆除しました。
Re: (スコア:1)
Re:実体験 (スコア:-1, フレームのもと)
それに普通って誰の普通ですか?
Re:実体験 (スコア:5, 参考になる)
DC内でワーム大繁殖、何てことになったら目も当てられません。未必の故意で損害賠償を請求されても仕方の無いケースだと思います。
第二に、rootkitを完全に排除しなければまずいです。Rootkitが組み込まれた疑いがあるのなら、そのOS上での調査結果は完全には信用できません。Rootkitは、システムコールを巧妙に書き換えて、ユーザから身を隠したままOS内に潜伏することが可能です。OSに組み込まれたrootkitを完全に排除する最も簡単で信頼性の高い方法は、OSを再インストールすることです。
リモートから作業したのであれば、Rootkitが組み込まれたOSを使って作業したのですよね?だったら、まだrootkitが残ったままの可能性があります。かなりまずいと思いますよ。 Rootkitが何なのかを知っている人にとっての普通です。異論はあるでしょうが、それ程特殊な考え方では無いと思いますよ。
参考 [wikipedia.org]。
Re:実体験 (スコア:5, 参考になる)
私もどこまでが「普通」かには自信がありませんが、企業のサーバ管理の専門家に聞いた限りでは、 rootkit 置かれちゃうレベルまで行ってたら再インストールか、最低でも HDD を取り出して他のクリーンであることがわかっているシステムに接続し復旧を試みる、という手順を踏みますね。間違っても、汚染された OS の内側から復旧しようなんて思わない。
たしかに、ただの踏み台やボットがわりに乗っ取られてたりする場合にはそこまで凝った仕掛けは施されていないことは多いでしょうが (無理して攻防戦をするよりも他のもっと弱いサーバーを乗っ取りに行った方が手間がかからない)、 それでも最近は出来合いのキットでもかなり出来のいい(というか恐しい)とも聞きますので、まぁ再インストールするか、管理者を他のもっとわかっている方に交代してもうらのがよいかと思います。
Re: (スコア:0, フレームのもと)
ってもちろん疑えばきりがありません。
私だって手元にサーバがあれば再インストールしますし、
再インストールしなければいけないことなら地球の裏側のDCにだって行きます。
今回は全部の手間を考えた上で、妥当だろうという判断をしました。
それが駄目だと言われれば、はいそうですかというしかありません。
お前は駄目だ、他のものに代われ。って無責任に言うのは簡単ですね。
それで世の中が完璧になればいいのに。
Re:実体験 (スコア:1)
無知やそれによる失敗は仕方がありません。完璧な人間はいないのですから。大切なのは、その後の対応です。
Re: (スコア:0, フレームのもと)
Re:実体験 (スコア:2, すばらしい洞察)
Re:実体験 (スコア:2, すばらしい洞察)
件のサーバをまだ管理されているのであれば、他の方が書かれているように再インストール等の対策を今からでも取られた方がよろしいでしょう。
また、バックエンドにDBや管理LANなどはないでしょうか。
あった場合はそれらにつながっているサーバも攻撃を受けた可能性があります。
すでに下記のように書かれていますが、気になったので念のため。
> イントラネットならともかく、グローバルIPアドレス振られたサーバがほとんどのDCで、
> 私のサーバ1台だけを早急にネットワークから切り離さなければいけない理由がわかりません。
誰も現在のサーバの状態に言及してないので、よけいなおせっかいと思いつつもACで初投稿。
Re:実体験 (スコア:1)
そんな態度を続けてると、誰も何も教えてくれなくなりますよ。
Re: (スコア:0)
少なくとも一般的なフィーリングとはズレていると思いますよ。
あなたのやっていることは事故米を食用販売していた会社の社長と同じです。
確かに、実際に健康被害は無いのかもしれませんが、一般的に受け入れられない事です。
そのことが理解できない、する気が無いのであれば仕方が有りません。
私はあなたと仕事で関係することが無いことを祈るだけです。
Re: (スコア:0)
Re: (スコア:0)
みんながrootkitにやられた場合再インストールしなければならない言ってるのは、
rootkitが自分を隠して何をしてるかわからないからだろうけど、
彼女はそれを把握し、自分の責任で駆除したって言ってるんだから、
私はそれを信頼してます。なんかあったら彼女が責任取ればいいんだしw
と現場から援護射撃。
ヒソカに恋心があるのでAC
Re: (スコア:0)
この場合の「ヒソカに」は「表面的に」の意味でしょうか?
一度くらい食事してあわよくば一晩一緒に過ごせればいいってレベルの恋心なのでしょうか?
そうでないなら、もっと違う付き合い方があると思うのですが。
# とあることで警察や消費者センターに相談したらそういうツッコミを食らった
Re:実体験 (スコア:2)
> 私はそれを信頼してます。なんかあったら彼女が責任取ればいいんだしw
「その程度の対応では,sayuporn氏の責任・懲戒・退職だけでは済まず,会社の消滅までいくかもしれないぞ。それで十分と判断するのは止めたほうが,会社の仲間にも迷惑がかからない」
という意味の集中砲火なので,中途半端な援護はsayuporn氏のためには決してならないと思う。
> なんかあったら彼女が責任取ればいいんだしw
恋心を抱いている当の相手も見ている場で,突き放されたようにsayuporn氏に受け止められて氏を傷つけかねない,その台詞はうかつすぎるような・・・。
この書き込みがばれたら,一生,秘めた恋で終わるな。・・・あ,sayuporn氏がWebアクセスログも見れる立場だったら,もう誰が書いたのかバレバレなのか。
Re: (スコア:0)
社員全員揃ってこの対応に問題は無かったという認識なら、確かにその通りだと納得しました。
Re:実体験 (スコア:1, すばらしい洞察)
うちの会社の場合、お客様と結ぶ契約書/同意書/誓約書の類に個人が何か責任を負う条項が入っていた場合、法務が通しません。今回のように業務上のミスはもちろん、たとえば業務時間外にお客様の入館証を紛失し悪用された場合でも、損害賠償責任は会社が持ちます。
これは社員を尊敬していないわけではなく、逆に、「尻はぬぐってやるから思い切って仕事してこい」という意味だと思っています。
(もちろん後で社内規定に従って始末書なり懲戒なりがあります)
このあたりはうちが特殊なわけではなく、まあ多くの会社がそうやっていると思います。
もう1点は同僚を尊敬するということについて。
技術屋の場合、レビューなんてのはコードから提案書まで様々なものがありますが、それは決して同僚を信頼・尊敬していないわけではなく、チームとしてよりよいものを作り上げる共同作業というだけのはずです。
個人が「作業完了した」だけではダメで、最低限、チーム内で報告書を検討してチームとしてそれが最善であったかを検討する「レビュー」がないというのがなんとも不思議です。
で、この2点を合わせて考えると、あなたの会社は個人事業主の集まりのようなところで、お互い尊敬しあい、干渉も助言もせず、責任も個人で持つということなのでしょうかね? 社風とか文化はそうそう変わるものではないので、それで今までうまく行ってるってことですよねぇ・・・??
詳しく (スコア:0)
一体どういう相談の仕方をしたらそういうツッコミを食らうのか大いに興味がわいてきました。
Re: (スコア:0)
どうでもいいツッコミですけど (スコア:1)
バレたなら「秘めた」恋では終わらない気が。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
Re:実体験 (スコア:4, すばらしい洞察)
今回の場合は、まだ納入したばかりでサービスインしていなかったんですよね?であれば、すぐに切り離しても問題無いはずですから、逆に切り離さない理由が解りません。 その根拠は? 例えばカーネル内のシステムコールが書き換えられていれば、全然十分ではありません。
到底rootkitとは何かを知っている人の意見とは思えません。 sayupornさん個人が管理するPCで、インターネットにも接続せず、何が起こってもsayupornさん自身がすべての責任を取る、と言うのなら、その必要はありません。
しかし、インターネットへ公開するマシンで、そのマシンの不具合で例えば会社の信用に傷がつく、という場合には、単にウィルスに感染しただけでも、OSから再インストールか、安全と確認されているバックアップをリストア、という判断もあろうかと思います。
Re:実体験 (スコア:1)
rootkitに犯されたシステムのrsyncを信用しちゃうわけですね。
Re: (スコア:0)
Re: (スコア:0)
今時のワームなら経路暗号化の上LKM引き込むのが常套手段だと思うけど?
受信したパケット全て解析の上、侵入したワームも全て確認済ならまあありか。
でも、再インストールの方が簡単確実のような。
> それらの検出は十分可能です。検出できないとしてもrsyncでファイルをすべて上書きすれば十分だと思います。
LKMでファイル読み書きフックされたら検出も書き換えも事実上不可能な気がする。
Re: (スコア:0)
である以上、再インストールすることで全て無かったことにしないと問題を取り除いたと証明できないからでしょ。
駆除という以上、駆除したことを証明できる方法が普通だと思うぞ。
証明出来ないんじゃ意味がない。
Re: (スコア:0)
HDDを物理的に新品と交換したほうがいいです。