サイバー攻撃
昨日の朝、ウチのサーバーが攻撃受けたみたいなのだけど・・・
昨日の朝のことです。二度寝していたところ、突然自宅サーバ(Mac mini)のファンが全力で回転しだしました。うるさいなぁと起きてサーバの様子を見たところ、ワタシのユーザidで perl が走っておりまして、これが CPUを100%近く食っている状態でした。
当然、ワタシがそんな物を走らせたりするわけは無いので、取り合えず perl はアクティビティモニタで強制終了!その後、ログを調べて不正アクセスなどが無いか調べたのですが・・・これが全く痕跡が残ってない!
シスログ、コンソール、セキュリティログ、httpd (Apache) のアクセス・エラーログ、etc... 一通り眺めたのですが、CPU 100%状態になった時間帯に外部からのログイン、接続、ファイルのPUTなどの怪しいアクセスは記録されていませんでした。まぁ、様々なidでログインしようとする試み、ftpポートに接続しようとする試みや、オープンソースの脆弱性があるsetupスクリプトをキックしようとする等の日常茶飯事の攻撃はエラーログに残っていましたが、まぁこれらは関係ないでしょう。
ホームページのファイルもざっと見ましたが、ファイルの更新日付や、中身を見た限りでは改竄された様子もありません。
また、サーバにはウィルスの検疫ソフトが入っていて、ウィルスのような活動はリアルタイムで監視されているのですが、それにも全く引っ掛かっていません。
問題なのはワタシのユーザidでもって perl が走っていたという事でして、最悪ワタシのユーザid、パスワードがクラックされた可能性があるということです。で、昨日は(あまり時間がないと言うこともあって)ログインパスワードを変更するという対処をしておきました。
今日もサーバのログを色々と調べているのですが、今のところ怪しい活動の痕跡は見つかっていません。また、サーバで perl など妙なプログラム、スクリプトが動くこともなく、CPUロード率も数%と低い状態。全く問題ないように見えるのですが・・・う〜む・・・何もないってとこが、かえって気持ち悪いなぁ。
|