« インド料理レストランHARI | トップページ | 血糖値低下 »

2006.01.29

セキュリティインシデント2

セキュリティインシデント」で、書いたように、研究室のサーバが外部から侵入されてしまいました。侵入者は、侵入後にDVDか何かのファイル配布に用いているようでした。

こういうときに、真っ先にすること。「落ち着く
慌てても仕方が無いので、コーヒーを淹れて飲む。ふーっ。

まずは、侵入経路・方法、侵入日時、被害状況を把握し、対処方法を考えなければなりません。
無駄だろうなと思いながらも、ログを確認。特に不審な点は見当たらない。

いろいろとパスワードアタックを受けているけど、一般ユーザのパスワード強度は「甘くは無い」ということは以前に確認済み。そもそも一般ユーザ向けのパスワードアタックは、ログイン名がほとんど一致していない。最も狙われる管理者のアカウントに関しては、直接ログイン出来ないようにしているので問題ないはず。

結局、侵入方法は良く分かりませんでした。

侵入日時に関して、ある程度見当をつけられないかと見てみると、侵入された痕跡が全て6日以降を示しています。もちろん、侵入されてしまった以上、あまりログの内容やファイルのタイムスタンプは信用出来ないのですが。

一方、侵入者の素人っぽい行動も見えます。プログラムのインストールの際には、初心者でもインストールが容易なRPMというパッケージツールを使っていたり、不正なウェッブサービスの起動がログに残っていたりしていました。コンピュータに詳しい人が作った侵入ツールを、素人が使って侵入しただけなのかも知れません。

さて、3-4時間ほどかけて調べたものの、どのように対処したものか困りました。侵入された以上、サーバは停止させるべきなのですが、複数の計算用PCが、ディスクやユーザ情報を共有するようになっているため、サーバを止めると、他の10台ほどのPCも動かなくなってしまいます。そして、それらのPCにも侵入されている可能性が高いわけです。ちょうど、修士論文の締め切りに追われて、学生が計算をしている時期。あまり長時間停止させるわけにはいきません。

そんなことを一通り考えた後、「侵入されてから少なくとも2日以上も経ってるんだし、よく考えた上で明日対処すれば良いか。」と帰宅しました。

げんじつとうひです。


つづく?

|

« インド料理レストランHARI | トップページ | 血糖値低下 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/1418/8400263

この記事へのトラックバック一覧です: セキュリティインシデント2:

« インド料理レストランHARI | トップページ | 血糖値低下 »