昨日の朝、ウチのサーバーが攻撃受けたみたいなのだけど・・・

　昨日の朝のことです。二度寝していたところ、突然自宅サーバ（Mac mini）のファンが全力で回転しだしました。うるさいなぁと起きてサーバの様子を見たところ、ワタシのユーザidで perl が走っておりまして、これが CPUを100%近く食っている状態でした。
　当然、ワタシがそんな物を走らせたりするわけは無いので、取り合えず perl はアクティビティモニタで強制終了！その後、ログを調べて不正アクセスなどが無いか調べたのですが・・・これが全く痕跡が残ってない！

　シスログ、コンソール、セキュリティログ、httpd (Apache) のアクセス・エラーログ、etc... 一通り眺めたのですが、CPU 100%状態になった時間帯に外部からのログイン、接続、ファイルのPUTなどの怪しいアクセスは記録されていませんでした。まぁ、様々なidでログインしようとする試み、ftpポートに接続しようとする試みや、オープンソースの脆弱性があるsetupスクリプトをキックしようとする等の日常茶飯事の攻撃はエラーログに残っていましたが、まぁこれらは関係ないでしょう。
　ホームページのファイルもざっと見ましたが、ファイルの更新日付や、中身を見た限りでは改竄された様子もありません。
　また、サーバにはウィルスの検疫ソフトが入っていて、ウィルスのような活動はリアルタイムで監視されているのですが、それにも全く引っ掛かっていません。
　問題なのはワタシのユーザidでもって perl が走っていたという事でして、最悪ワタシのユーザid、パスワードがクラックされた可能性があるということです。で、昨日は（あまり時間がないと言うこともあって）ログインパスワードを変更するという対処をしておきました。

　今日もサーバのログを色々と調べているのですが、今のところ怪しい活動の痕跡は見つかっていません。また、サーバで perl など妙なプログラム、スクリプトが動くこともなく、CPUロード率も数％と低い状態。全く問題ないように見えるのですが・・・う〜む・・・何もないってとこが、かえって気持ち悪いなぁ。

内ト / Nov 4th, 2010 20:04 / [ 編集 ] [ コメントする ] [ TrackBack(0) ]