パスワードを忘れた? アカウント作成
8263 story
セキュリティ

「クラックされたり!」「しからば、いざゆかん」 119

ストーリー by wakatono
インシデントレスポンスの実例求む 部門より

昨今のクラック騒ぎだが、名も知らぬ方から一石投じられた。"昨近、もじら組Namazu.orgruby-langといったオープンソース開発サイトのクラックが話題になっている (/.J過去記事(もじら組、namazu.org ruby-lang.org)。 されないに越した事はないし、運営者、利用者の自己責任論もあるが、ここにアクセスされている皆さんには、「その次」の行動を起こすべき(業務か、あるいは義務感のみかを問わず)立場の方々も多いことと推察する。

ここで/.Jの諸賢に尋ねたいが、「クラックされてたぞ!」の次のアクション は(どうする|どうしてきた|どうあるべき)だろうか。

…「お客様」にいえないような忌憚無い論議を期待したい。"

これまたストレートな問いかけだが、インシデントレスポンスをどう考え、実践し、というのはシステム管理者やネットワーク管理者の関心事の1つだというのもまた事実だ。みなさんはこのあたりどうしてる?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 中間管理職ブルース (スコア:5, おもしろおかしい)

    by limbo (6813) on 2004年05月31日 20時51分 (#559931) 日記
    本当はnetstatだけ復活させて様子を見てみたいのだけれども、そこは大人だからとぐっとこらえてLANケーブルを抜き、chkrootkitで探査。案の定rootkitを発見、復旧。結構ログも残っているのでネット時代のグローバルな世界の各種の足跡にしばし遠く彼方の空の下へと思いを馳せる。もう10時だ。今夜も帰れない。今のうちに雑務を済ませておこう。

    最初にポートスキャンしたらAnonymous FTPと化していたようなのでさっそくお宝DVDを探す、のをぐっとこらえてPhotoshopから先に探す、という同僚を追いやって、Windowsマシンに向かって今後はtripwireくらい入れようという手順書を、初歩の初歩から手取り足取り解説付きで夜なべして作る。前任者は誰だよ、と少し頭にくるが、直属の上司がまさにその人だったのを思い出す。冷房も切れた部屋で額に汗すること2、3時間。終電はもう出て行ってしまった。サーバに触ることさえ禁じられたまま、やっちまったどうしようと青い顔をして突っ立っている管理者に、昔話のひとつやふたつ披露して緊張をほぐしてやろうとするが、上の空であまり聞いてはもらえない。コーヒー休憩だとふと見上げると時計は3時半を指していた。外に行くのも面倒だが、なんだか気詰まりがしてここにいるのも苦痛だ。そう思うと余計に暑い。

    わざわざ表紙もつけた手順書がようやく出来上がるが、こんなときに限って紙が切れている。ストックの包み紙を破ると手に汗をかいているので用心しながら中身を取り出し、トレーに紙束を突っ込んで印刷したら、管理者君におごそかに手渡す。さっと隠していたが、こいつ、こっそり子供の写真を見てやがった。確か下の子が生まれたばっかりだったよな。

    四時半。帰った方がいいのか、それともこのまま書類でも片付けていた方が面倒がないのだろうか。なんだかもう判断力が残っていない。外も少し明るくなってきた。お客さんに「どうも最近OSが不安定なのでリプレースしたい」ともっともらしく説明できるように夜明けの洗面所で顔の筋肉を鍛えるとするか。最近オッサン臭くなったと娘はいう。
  • 通報 (スコア:3, 興味深い)

    by yanagi (6075) on 2004年05月31日 19時58分 (#559888) ホームページ 日記
    なんにせよ、警察なりに連絡することは
    ないだろうなぁ
    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ
    • Re:通報 (スコア:2, 興味深い)

      by nq (16642) on 2004年05月31日 20時20分 (#559906) 日記
      警察に連絡すると、証拠物件として、侵入されたマシン、あるいはそのハードディスクが取り上げられて業務ストップ。侵入そのものよりも捜査に伴う二次被害の方が大きい可能性が高い、と聞いています。そのあたりの経験談も求む。
      親コメント
      • Re:通報 (スコア:3, 参考になる)

        by Anonymous Coward on 2004年05月31日 23時36分 (#560137)
        警察に連絡する(される)と、マシンが回収されます。
        その後、どこで扱っていいのかわからなくなったところでたらいまわし。そして調書作成という名の下に、一日ほど拘束されます。
        マシンは数ヵ月後に戻ってきますが、その頃にはすでに他のマシンで動かしているのでまったく意味がありませんでした。

        ちなみに、ハードディスクは検証に入る前に完全にコピーされるので、元のハードディスクの中のデータは破壊されることもありませんでした。
        親コメント
  • 過去の経験 (スコア:3, 参考になる)

    by Anonymous Coward on 2004年05月31日 20時57分 (#559937)
    バカ正直に ML に通知したことがあります。

    ちょっと具体的に書くと長くなるのですが、あるシステムに潜在的な脆弱性があり、その脆弱性を突かれたか?と思われる事態が発生したので通知したのですが、その ML にはシステムを利用していないスポンサー的な立場の人間も居て一悶着起こしてしまいました。。。

    #つーか、基本的に関係ない人を ML に入れておく意味はなんだったのだ。。。

    そのときはバカ正直に通知した私が怒られておしまいでした。システム開発の人は脆弱性を認識しているけどコストの関係でその実装になっているんだよ、と私に同情的でした。でも、通知先を確認しなかった自分が悪かったんだなぁと学習できました。

    そのシステムは商用のものじゃなくて実験的な期間限定のものだったので、明確で大規模な問題とならない場合はコストの問題でどうしようもなかった感じでした。その後は疎遠になったので現状は知りませんが。

    基本は掲示板系だったのでサーバそのもののクラックなどの話じゃないのですが、個人情報に関する問題が出る可能性を考慮しての行動だったのですが、思わぬところに落とし穴、という例でした。
  • talkでお話しするとか… (スコア:3, おもしろおかしい)

    by Spatz (19753) on 2004年05月31日 21時03分 (#559947) ホームページ 日記
    まだ相手がつながってたらお話ししてみるとか…。

    言ってみたかっただけです…。
    管理者でもなんでもないけどID。
    --

    ----
    :oすずめのおやどはどこじゃろぉ
    ('>ぴよぴよ
  • by koney (6658) on 2004年06月01日 0時15分 (#560170) ホームページ 日記
    教科書に従う。

    一番困るのは、発見まで時間がかかるような手法でクラックされること。
    幸か不幸か、いままで「ログインしたらすぐに分かった」程度のクラックしか見たことがありませんが。

    逆上して報復はしないように、CD-Rに信頼できるバイナリを用意しておくのがここでの嗜み。

    >「お客様」にいえないような忌憚無い論議を期待したい。
    仕事でやっている場合、そういうのは困るのです。
    とりあえず、ハードウェア障害にしておく、と(おぃ
    • > とりあえず、ハードウェア障害にしておく、と(おぃ

      やたらハードウェア障害が頻発するような
      無料ウェブスペース領域サービスなんていうところは
      しょちゅう入られているのかなあ?

      そういうのって、無料だから責任なんて曖昧だし
      どうせ・・・とか言われるのがおちなんだろうか。

      やっぱり少しぐらいのお金を払ってホームページを
      作るべきなんだろう。。。
      親コメント
  • by Anonymous Coward on 2004年05月31日 19時53分 (#559885)
    あとはそれから考える。
    #バカ防止だけなのでAC
  • by Anonymous Coward on 2004年05月31日 20時58分 (#559938)
    いっそ「ヤッチマイナー」ぐらいのほうが面白かったかと。

    #激しくオフトピ
  • RPM系Linuxの場合 (スコア:2, 参考になる)

    by Anonymous Coward on 2004年05月31日 21時40分 (#560002)
    やるべきことで思いつくといえば、

    ネットワークの無効化
    # /etc/init.d/network stop

    ログを保存
    # tar zcvf /mnt/usb-hdd/log.tar.gz /var/log

    変なユーザを探す
    # who

    変なプロセスを探す
    # top

    バックグラウンドでrpm監査コマンドを実行
    # rpm -Va > /tmp/valid.txt 2> /dev/null &

    rpmの監査が終わるまでsyslogの中身を読む
    # lv /var/log/messages

    rpm監査コマンドの結果を見る
    # lv /tmp/valid.txt

    ほか何かある?
    • by Anonymous Coward on 2004年05月31日 22時04分 (#560037)
      正直、
      この程度で痕跡見つかる程度なら、たいしたことはないと思う。
      もちろんやるべきことではあるが。

      でも、まずはその前にchkrootkit。仕込んでればtripwire。
      信用できるソースから管理系コマンドを再インストール。
      侵入された後のホストのコマンドの出力なんて信じられるわけがない。
      親コメント
    • バックドア仕掛けられたシステムのpsとかwhoとか
      log関係は、あてにならないので、procを
      直接覗いて変な物動いてないか確認した
      良いんじゃないかと思います。
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
    • by Anonymous Coward on 2004年06月01日 2時30分 (#560249)
      kernel level rootkitって知ってます?

      システムコールをトラップしてるのでps, topとかlsとか役に立ちません。ネットワークケーブルを抜くくらいでは不十分。電源ケーブル抜いて、クリーンなOSでディスクをマウントしてファイルが改竄/追加されてないかチェックしなければ意味がありません。

      kernel level rootkitどう作るか知りたい人はサンプルはネットで探してみて下さい。ありますから。
      親コメント
  • 「どうする?」という方向でいろいろコメントが出てるようですが、
    では逆に「これだけは、やっちゃいけない」ことってありますか?

    # 門外漢なので聞いてみるだけしか出来ませんが
    --
    *-----------------------*
    -- ウソ八百検索エンジン --
    • by Anonymous Coward on 2004年05月31日 22時09分 (#560046)
      逃亡。





      ……頼むから帰ってきて。
      親コメント
    • やってはいけない事
      「上司、同僚にたとえ事実であってもありのままに報告するだけで放置すること」
      「たとえ感染元や踏み台が上司や同僚の管理していた機器であっても
       それを他人の面前で明らかにすること」
      「通ぶってホイッスルブロアーや他人のせいにすること」

      やってほしい事「上司、同僚に判る様に 以下の事を説明する」
      1.落ち着いて行動するようにお願いすること
      2.上司にこの災いをチャンスとして更なる予算や権力、最新機器を分捕れる
       はずなので、協力してほしいと頼むこと
      3.ウイルスとかいってもプログラムであって、人間に感染するものではないことを判るように説明すること。(-_-;)

      #マジに書いてしまった orz 
      親コメント
      • by Anonymous Coward on 2004年06月01日 0時17分 (#560175)
        「やってほしいこと」の3.は重要ですね。
        隣の課の人がいきなり「ウィルスだっ!」と叫んで大騒ぎになったことがあります。

        …血液の診断関係の機械作ってる部署だったもんで、そりゃもう大騒ぎに。。。
        親コメント
    • by Flanker (22257) on 2004年06月01日 1時23分 (#560225)
      #ケーブルを引っこ抜けと言われて、電源ケーブルを引っこ抜いてしまうこと。

      「ウィルスだ!急いでケーブルを引っこ抜け!」
      慌てたネットワーク担当がそう叫んだ次の瞬間、

      ブチッ、ヒュ~ウゥン…

      なぜか聞いてはいけないはずの音に続いて急に静かになった。
      焦りながら振り向くと、PCの知識が乏しい年配のお偉方が
      「これでええのか?」
      と言いながら手に持ってるのは3Pプラグの黒いケーブルだった…

      #ネタのつもりだけど、本当に有りそうで怖いなぁ…
      --
      腐乱化…もといFlanker
      親コメント
    • by Anonymous Coward on 2004年06月01日 18時30分 (#560689)
      ネットワークケーブルを抜く前にパスワードを打つ事。
      crackされた後、一度でもパスワードを打ったマシンを再びネットワークに繋ぐ事。

      たとえ他のマシン全てのパスワードを違うものにしていて、しかもランダムで生成したパスワードだとしても、一つ漏れてしまえばパスワードで用いている字種、長さ、クセなどから類推されてしまう可能性が格段に高くなる。
      日頃からメンテナンスなどでリモートログインする時も、パスワードで認証するのではなく、sshのshared key認証でログインするようにした方が安全。

      そういう意味では、一般に言われている「一般ユーザでログインしてsuすべし」というのもインターネットに公開されたサーバでは危険を伴う。
      「一般ユーザでログインしてsuする」というのは、正規ユーザによる悪意の行為が行われた場合に誰がやったのかを識別できる利点はあるが、それもログが改竄されていない事が前提だし、昨今のインターネットに接続されたサーバではシェルアカウントを持つ正規ユーザが大量にいるという状況も少ないので、あまりメリットは無い。
      逆にsuできる一般ユーザアカウントをクラックされて、suする時のキーストロークをロギングされてしまう事によってrootパスワードが漏出してしまう可能性もある。
      より安全なのは、インターネット上に(暗号化されているか否かを問わず)一切パスワードを流さない事。
      そのためにもshared keyなどを利用してパスワードを使わない運用体制を作るのが良い。
      shared keyで直にrootでログインするよりも、安全性が保証できないマシン上でrootパスワードを打つ方がより危険度は高い。

      パスワードはあくまでも簡便な認証の一手段であって、安全性はそれ程高くないという事を認識すべき。

      親コメント
    • 既にかなり既出ですが、
      オンラインな状態にしておく事だと思います。
      (もちろん、構成により、のっとられたまんま
      のほうがましな場合もあるかと思いますが)
      ま、動いてるサービスにより、臨機応変な
      対応が必要だと思います。
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
    • by Anonymous Coward on 2004年05月31日 22時31分 (#560069)
      (とりあえずサービス再開させようと思って何も考えずに) リブート。
      親コメント
    • (とりあえずWindowsだからってことで何も考えずに) リブート。

      親コメント
    • by Anonymous Coward on 2004年06月01日 1時13分 (#560215)
      ばっさりとOSのインストールからやりなおしたあげく、
      まったく同じ設定状態に復旧
      親コメント
  • 不正アクセスを受けた受けた場合の措置として
    http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku34.htm

    1. 被害拡大の防止(ネットワークから切断)
    2. 被害状況の保全(ログ・設定ファイルを保存)
    3. 警察へ通報

    とありますから、これでよいのでは。

    もし、通報することで警察への対応に時間が取られるのなら、
    その前におおまかな調査と被害範囲の確定、代替機によるサービスの暫定復旧、
    といったことまで済ませておかなきゃいけないかもしれませんが。

    そして一段落したら、詳細な報告書の作成と、再発を防ぐための対応策の検討。
    外部への告知は他部署に任せます。

    事後処理の最後は「クラックされちゃいました記念宴会」で締めたいですね。
    管理者としての一生のうちにそう何度も経験できるものではないので(と思いたい)。
  • サーバ類が
    バックボーンなどの都合で実際データセンターなんかに入っていたら
    そこの管理者に連絡して、システムを切りかえるなり
    リスク対応に沿った作業をするしかないかな

    当たり前過ぎだが、これしか思いつかん
    #だって、だって 今日ラックから煙が出たんだ・・・・マジな話
  • スキルの無い私はクリーンインストールを
    実行するしか削除する術をしらないのですが、
    世の中には全てのバックドアを検知して、
    削除するツールもしくは、方法などがあるのでしょうか?
    --
    romfffromのコメント設定
    AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
  • by WATT (7709) on 2004年05月31日 20時18分 (#559905) 日記
    他の共同管理者に連絡、そして休暇へ……。
    まぁ、普通に考えたら、まずシャットダウンかケーブル抜くでしょうね。

    # 内輪用だからこそできる技かも

    止められないサーバーの場合を考えると、涙が出そうです。
    • Re:たらいまわし (スコア:2, 参考になる)

      by kawaz (15398) on 2004年05月31日 20時25分 (#559910) ホームページ
      いきなりシャットダウンは侵入の痕跡を消すことになってしまうので、電源は落とさず LAN ケーブルを抜くですねぇ。

      その後、chkrootkit して、入れ替えられたコマンド類(ps,netstat,ls,etc...)のバイナリを入れ替えて調査開始。

      ですかね。
      親コメント
      • Re:たらいまわし (スコア:2, おもしろおかしい)

        by nu-u (12312) on 2004年05月31日 22時46分 (#560077) 日記
        そうそうLANケーブルを引っこ抜いて侵入者をコンピュータの中に閉じこめて逃げられないようするべきです(違)

        「あっ、LANケーブルを抜いて逃げ場を無くしたのに、侵入者がいなくなってる( ̄□ ̄;)
         くそーどっかにセキュリティホールを造って逃げやがったな( ̄□ ̄;)」

        # 激しく用語間違い(笑)
        親コメント
  • by Anonymous Coward on 2004年05月31日 20時53分 (#559933)
    システム管理者ではありませんので、もしかしたら検討違いな疑問かもしれませんが、
    LANケーブルを抜くという意見が多数のようですが、
    遠くのデータセンターでリモートでしかサーバーに入れない場合や保守回線が無い場合って、どーするんですか?
    ssh以外落とすということもありえそうですが、sshが穴な可能性もあるわけで。
    • by kacha (13067) on 2004年05月31日 21時44分 (#560004) 日記
      多分にして、上司から命令が下るでしょう

      「おまえ、行って来い」

      #電車で1時間以内の所しか保守したことありませんが
      親コメント
      • by RX-178 (2626) on 2004年06月01日 11時37分 (#560419)
        データセンターを海外につくることをおすすめします。
        ハワイとか、オーストラリアとか、西海岸とか。
        データセンター通いが楽しくなります。
        上司にその権利をとられないように気をつけましょう。
        そして、決してアラスカにあるデータセンターを利用しないように気をつけましょう。

        「おまえは、アラスカ行きだ~」
        帰ってこれなくなります。
        親コメント
    • by Anonymous Coward on 2004年05月31日 23時41分 (#560142)
      検討違いを見当違いに直すところからはじめてみてはいかが?
      親コメント
  • まずは (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年05月31日 22時22分 (#560059)
    /.にたれこむ。
  • 個人情報を扱っているサーバが被害にあってないか確認し、
    万が一漏れていることがあれば被害範囲の確認、記者会見の準備、
    そして人数分の500円を......

    ......しかし、かつては500円払えば有名な猫さんに、質問に
    答えてもらえたり面白い話をきけたりしたというのになあ。
    #あえてリンクをはらないでネタをふってみる。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...