トップへもどる |
トップ → 当サイトへの侵入者経緯
2006年夏に当サイトは、 外部から侵入されファイルのかいざん等の被害をうけました。 ここでは、今までに調査して判明した事実と、 手がかりから推測した侵入経緯を説明します。
セキュリティ上の問題で、 当時および現在の当サイトの詳細を記述するわけにはいきませんが、 進入経路を示すために簡単に説明します。
| 項目 | 詳細 |
|---|---|
| ファイアウォール | パケットフィルタを備えた機器複数 |
| LANセグメント | 複数 |
| サーバ | Linux i386マシンで、DNS、メール、WEB等を実現 |
| Linuxクライアント | Athlon マシン |
| Windows デスクトップ | Athlon マシン |
| Windows ノート | Pentium マシン |
| Macintosh デスクトップ | PPC マシン |
全てのマシンで、 セキュリティアップデートは頻繁にかけていました。
最初に侵入されたのは、Windowsデスクトップでした。 このマシンに必須のデバイスドライバがあるのですが、 そのデバイスドライバをインストールするとルートキットおよび侵入を手引きするソフトウェアまでインストールされていました。
何度もファイアウォールの内側でクリーンインストールを繰り返したのですが、 その都度侵入されていました。 現在このマシンはオフラインで運用中です。
WindowsデスクトップからLinuxのサーバおよびクライアントへは、 SSHによるログインをキーロガーで記録して、IDとパスワードを取得したようです。
Windowsノートへの侵入は、脆弱性のゼロデイアタックです。
Macintosh への侵入は確認されていません。
自作プログラムのソースコードを一部かいざんされました。 サーバのサービス設定を、書き換えられました。 ファイルサーバに保存していたバイナリを、かいざんされました。
Windowsマシンが、頻繁にリブートしました。 Linuxマシンのプロセスが、ときどきKILLされました。
DNSやメール、WEBなど外部から見える部分のかいざんは、 確認されていません。
2006年秋に以下の対策をとりました。
ファイアウォールの機能強化を行いました。 Linuxサーバのディストリビューションを、 よりガードが強固と思われるものに変更しました。 侵入口をふさげないマシンは、隔離することにしました。 その他対策をとりました。
対策によって侵入者を排除できた確証はありませんが、 ファイルのかいざんは止まりました。 セキュリティ対策をさらにすすめてゆく予定です。