sayupornの日記: 君、し、死ぬの? 40
日記 by
sayuporn
イライラしてるから喰ってかかってみる。
じゃあお前らはウィルスに感染したらWindowsをそのたびに再インストールするのかと。
もちろんそれがベストには違いないが、ベストな行動をしないからダメだってお前ら何様だって言う。
そんなこと言っていいのは高木先生だけだ。
イライラしてるから喰ってかかってみる。
じゃあお前らはウィルスに感染したらWindowsをそのたびに再インストールするのかと。
もちろんそれがベストには違いないが、ベストな行動をしないからダメだってお前ら何様だって言う。
そんなこと言っていいのは高木先生だけだ。
Stay hungry, Stay foolish. -- Steven Paul Jobs
じゃあ高木センセに叩かれたら死ぬの? (スコア:2, すばらしい洞察)
というかRyo.Fが詭弁や言葉遊びや場外乱闘に頼らずまともな事を言ってるように見えるのがどんだけ異常事態だかを何より雄弁に物語ってるだろうが。
たぶんみんな気になってるんだとおもう (スコア:1)
ほかのひとに迷惑かかってないよね?
今もちゃんとそのサーバ動いてるのよね?
# ごめんなさい、すごく聞きたかったんです
φωφ)/
Re:たぶんみんな気になってるんだとおもう (スコア:1)
rootkitだって、それがどういう種類で、どういう動作をし、
どういうことをしてどういうことをしないかを知っていれば、
闇雲に再インストールする必要は無いと思います。
いや闇雲に再インストールしたほうが楽なんですが。
再インストールがベストなのは疑う余地もありません。
だけどそれは風邪をひいただけなのに大学病院で1ヶ月検査入院みたいな大げさ感があります。
今回は遠隔地からの操作だったので、パスワードを設定してもらった後、
ルータで他のネットワークからは隔離し、パスワードが度々変更されるので、
cronで定期的にpasswdとshadowを上書きするように設定しました。
そしてrkhunterを走らせると、SHV4とSHV5にかかっていることがわかりました。
もう一台同じ構成のサーバがあったので、MD5を取りつつrsyncで全部のファイルを上書きしました。
もちろん素晴らしいrootkitで、外部からもってきたrsyncのバイナリを書き換え、
MD5の値もごまかし、全部のファイルを置き換えたと見せつつ置き換えてないかもしれません。
が、私は残念なことにそんな素晴らしいrootkitは見たことありません。
いやどこかにあるかもしれませんよ。可能性として。
次にrootkitを仕込まれて困る動作はアカウントの乗っ取りとバックドアです。
私は2週間の間ファイルの書き換えのログと外部パケットの通信をチェックしました。
ファイルは書き換えられていないし、怪しい外部との通信もありませんでした。
もしかしたら3週間目に動き出すrootkitなのかもしれないしれませんが。
まだrootkitはサーバの中に残ってるかもしれませんが、
ある程度の期間、アカウントを乗っ取られていないこと、
外部との通信をしていないことでとりあえず大丈夫だと判断しました。
もちろん私も再インストール出来るものならしたいです。
上記の作業に6時間+2週間かかっています。再インストールの方が全然楽です。
そんなことわかってるっつーの。でも出来ない理由があったのでした。
なんでrootkitだってだけでみんな大騒ぎするのか解りません。
rootkit知らなさすぎ。啓蒙されてないころのHIVみたく騒いでるだけだと思います。
これで私がセキュリティ管理の甘い人にわか鯖管だとしたら、
私を雇った会社、上司、そしてもらってる安くない給料、
ざまーみろって感じですね。
Re:たぶんみんな気になってるんだとおもう (スコア:2)
「そんなことリモート作業で調べる前に,好き放題されているサーバーのLANケーブルを,さっさと引っこ抜け!」
と,叱ってくれる先輩や上司はいなかったのでしょうか?
Re:たぶんみんな気になってるんだとおもう (スコア:1)
Re:たぶんみんな気になってるんだとおもう (スコア:3, すばらしい洞察)
うちと取引してないか確認したいから,社名を教えて欲しいな。
Re: (スコア:0)
Re:たぶんみんな気になってるんだとおもう (スコア:1, すばらしい洞察)
Re:たぶんみんな気になってるんだとおもう (スコア:2, すばらしい洞察)
私はrootkit収集家ではないので、実際にそういうものがあるかどうか知りませんが、私が簡単に思いつく程度ですから、「素晴らしい」ってレベルじゃないでしょう。普通です。
#てか、専門用語が通じてない気がするんですが、気のせいでしょうか…
チェック・駆除するなら、感染したOSからではダメです。例えば少なくとも、CD-ROMから起動できるようなOS(KNOPPIXとか、CentOSのLiveCDとか)から作業しないと。
ちなみにこの方法は、現地にパスワードを変えてくれる程度の協力者がいればリモートから作業可能です。Rootkitを良く知っているのなら、何故そうしなかったのか…それ、聞きたいなあ。どんな理由でしょう?サービスインしてたわけでもないんですよねえ。横浜なら、国内どこからでもそう不便なく移動できそうですし。どんな理由かなあ…まったく違うと思います。
Re:たぶんみんな気になってるんだとおもう (スコア:1)
Re:たぶんみんな気になってるんだとおもう (スコア:1)
乗りかかった船ですから、解らないことがあれば教えます。何が解らないんですか?専門用語ですか?
しかし、再インストールできなかった理由は、「全然わかんない」わけないですよね。教えてもらえますか?
Re: (スコア:0, フレームのもと)
>> この場合、普通にシステムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができます。
では、その実例を教えてください。「私が思いつくから世の中には存在するであろう」というのはなんの根拠にもなりません。
>> チェック・駆除するなら、感染したOSからではダメです。
なぜだめなのですか?
rootkitのいちばんの目的は、自分がそのOS環境に潜んでいることを悟られないことです。
rootkitが入っていると管理者が知っているなら、それはウィルス程度のプログラムだと思うのですが。
再インストールできなかったわけはHDDの容量が3TBあり、そのバックアップとリストアに48時間かかるためです。
Re:たぶんみんな気になってるんだとおもう (スコア:1)
システムコール書き換えなんてDOS時代のウィルスやそれ以外のツールでも常套手段でしたし
逆を言えば古典的な手法だと思いますが。
逆にそういう事されているRootKitなんて見たこと無いと言うならもう10年近く前のLinux系アングラ本で
そういうこと明言されている本も持っています。(まぁ、その本の趣旨はサーバを守ると言う方向ですが)
そもそも、侵入されたんだったら3Tbyteの中身がデータかプログラムかはさておき
バックアップ&リストアの中にrootkitやバックドア、ウィルス等含まれている可能性有るんじゃないかと思うんですが・・・。
同じ構成のマシンがあったなら、それに納品時のデータ入れて郵送、HDD交換という手も使えたような。
私が仕事で関わった地域ポータルサイトを入ってすぐ見たらSSH,FTP,DB等々解放されてたりパスワードが安易だったり
前管理者に仕事に遠い目しつつ、ポートを制限かけまくった後にアタックログ全部印刷してバックドア等調べまくって
関係各社のミーティングの場でばんとおいて幸いサービスインしていた物の一週間後にサーバ一日中断、
OS入れ直して設定等含めて全部やり直しましたが・・・。
JpegやGIF等の画像に入るウィルスもあったくらいですしデータすら信用できません。
バックアップしたのはデーターベースのデーターのみ。
そのデータも一応検証機で検証してから書き戻しました。
個人情報含まれていたのでやばいだろうと突っ込み入れましたが・・・
リテラシーの低い関係各社に黙殺されました。
そして入社直後のその件から煙たがられて半年で技術者イラネと言われて放り出されました。
#イラネって言ったくせにサーバトラブル等有ると電話かかってきていい加減うざいですが・・・そんななので私の仕事場のIPアドレスはSSHで入れるようになりっぱなし・・・。
#後半は完全に愚痴ですね(苦笑)
Re:たぶんみんな気になってるんだとおもう (スコア:1)
なんで自分で探そうとしないのでしょう?
#こっちの解説 [atmarkit.co.jp]から読むべきかも知れない。上で紹介した記事を読めば自ずと解ると思いますが、調査に使われるシステムコールが汚染されいて、なおかつ、それを検出できない可能性があるからです。
感染したOS上で、システムコールを使わずに、直接ハードウェアを制御して検出することも理論上可能ですが、CDブートのOSを使った方がはるかに確実かつ簡単です。
これが解っていない、ということは、rootkitとは何かが解っていない(あるいは、その理解が古い)と言うことです。たとえそうだとしても、ウィルスに感染したら普通、サーバ停止かネットワークから切り離しでしょう。他人に迷惑がかかりますから。ここで言う迷惑とは例えば、rootkitを経由してよそ様の機器が攻撃を受けることを言います。
サービスインは二週間以上先だったのだから、すぐにそう判断して実行できたはずです。6時間+2週間よりかなり短いですよね。三日目に方針転換しなかったのは何故ですか?
今からでも件のサーバをリストア(あるいは再インストール)すべきです。
すぐに二日間は停止できない、というのであれば、CDブートできるOSを使って再調査すべきです。
Re: (スコア:0)
存在しない根拠を「私が知らないから」って人間のがセキュリティ的に完全にアウトだけど?
今回の例の場合、root権限でもってリモートで行われうる事はすべて起こっている可能性がある、という前提で対処すべきでしょ?
> rootkitのいちばんの目的は、自分がそのOS環境に潜んでいることを悟られないことです。
> rootkitが入っていると管理者が知っているなら、それはウィルス程度のプログラムだと思うのですが。
って言うことは、貴方が知り
Re: (スコア:0, フレームのもと)
Re:たぶんみんな気になってるんだとおもう (スコア:1)
失礼が過ぎるんじゃありませんか?
Re: (スコア:0, フレームのもと)
システムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができるrootkitを教えてください。
別にKLMでシステムコールをフックするrootkitどうこうが知りたいわけではありません。
それにWikipediaや@ITをポインタする人がいますが、私がなんでそのページを見たことがないと思うんでしょうか。
rootkitとて万能ではありません。想定する管理者の行動から自分を隠蔽するだけです。
rsyncが/usr/bin/rsyncに無かったら?rsyncの名前がrsyncでなかったら?rsyncのフィンガープリントが違ってたら?
rootkitはどうやって自分を隠蔽するのでしょうか?
あのー、日記にルータでパケットが流れないようにしたって書いてありますし、
なんでサービスインは二週間以上先だったって決めつけるんですか?
Ryo.Fさんは自分のPCがウィルスにかかったらどう対処しますか?
Re: (スコア:0, フレームのもと)
Re:たぶんみんな気になってるんだとおもう (スコア:1, すばらしい洞察)
こいつ放置でいいだろー。
議論しよーとか理解しよーとか考えてねーべ。
ただの質問小僧じゃんかー。
てかこれ作ってるキャラなんだろーし。
まあ爆釣れでうはうはでおkってことじゃねーの。
Re: (スコア:0, フレームのもと)
好きで私の相手してくれてる優しい人たちに止めようぜなんて呼びかけるって、
自分が来なきゃいいだけじゃないのかしら。
世の中の人が全員自分と同じ考えじゃないと納得できないの?
自分と同じ対処方法をしないとバカ扱いしたりご高説たれたりするの?
Re:たぶんみんな気になってるんだとおもう (スコア:1)
ちなみに、私は「システムコールを置き(書き)換える」を「システムコールをフックする」と同義で使っています。このくらい言わなくても解ってますよね?きっと試されたんですよ。試されてもちっとも失礼とは思わない [srad.jp]んでしょう?問題ないですね。
マジメに回答すると、読めば当然解ってるはずのことを幾度も間違うからです。そのくらい解ってますよね?いずれの場合もまったく問題なく隠蔽できます。そういうレベルではないのは解ってますよね?おっと、それは見落としてました。#1486585 [srad.jp]のことですね?でも、リモートからは作業できたんですよね?どう「隔離」したんです?別セグメントに分けただけではないんですよね?だって、作業に6時間+2週間かかっ [srad.jp]たんでしょう?さすがにrootkitを除去し切れない内にサービスインなんて非常識なことはしなかったでしょう?「隔離」したままサービスインは無理でしょうし。
で、三日目に方針転換しなかったのは何故ですか?
Re:たぶんみんな気になってるんだとおもう (スコア:1)
システムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができるrootkitです。
システムコールを置き換えること=すべてのプログラムを騙す事ができるではありませんから。
おっと、KLMとLKMを打ち間違えてしまいました。
>>きっと試されたんですよ
ええ、別に気にしてません。逆に光栄なくらいです。
>>でも、リモートからは作業できたんですよね?どう「隔離」したんです?別セグメントに分けただけではないんですよね?
私のクライアントとだけ通信するようにしただけです。
>>だって、作業に6時間+2週間かかっ [slashdot.jp]たんでしょう?
作業に2週間かかったことと、サービスインは二週間以上先と勝手に想像することに、
何の因果関係があるのでしょうか?あなたの非常識は私の非常識ですか?
>>三日目に方針転換しなかったのは何故ですか?
方針転換する必要性を感じなかったからです。
Ryo.Fさんは自分のPCがウィルスにかかったらどう対処しますか?
Re:たぶんみんな気になってるんだとおもう (スコア:1)
Re:たぶんみんな気になってるんだとおもう (スコア:1)
システムコールを書き換えずにそれが可能、とは書いてませんので、そんなものを私が例示しなくても問題ありません。
今の文脈で、システムコールをフックするrootkitや、LKMを利用するrootkitを除外する理由が無いのなら、意味の無い要求です。何か理由があればそれを書いてください。理由が無ければ、あなたはrootkitのことを解っていない(あるいは、その理解が古い)、と言うことになります。
#か、議論を発散させようとしてるとか。気にしてないなら無視しとけば良いのに、なぜわざわざ書いたんですか?
#あ、光栄だからどんどん試してね!ってことでしょうか(笑)?どうやったんですか?
#普通ならこんなことは聞かないんですが、あなたの知識が不安なので、試させてもらっています。
##光栄に思いなさい(笑)。そんなことを聞く前に、サービスインは○○日後でした、と反論すれば良いでしょうに、なぜそう書かないんでしょう?この場合、違うんですか?
#普通ならこんな書き方はしないんですが、試させてもらっています。
##光栄に思いなさい(笑)。そう感じた理由はなんですか?
#必要性は、感じるものではなく、合理性に基づき判断するものですけどね…
Re:たぶんみんな気になってるんだとおもう (スコア:1)
まぁ、スレッドの中に割り込んだみたいなものですけど
質問と言うよりはそんなRootKit「私は」知りません、実例あげて下さい。
と言う流れで普通にあるよ?と指摘したくなる書き方ですね。
自分が知らないから無いと言う論調にも取れますし、Ryo.Fさんを試す?
むしろ、頭ごなしに否定していたような・・・
Re: (スコア:0)
> システムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができるrootkitです。
> システムコールを置き換えること=すべてのプログラムを騙す事ができるではありませんから。
システムコールを経由せず直接ハードを叩いて確認したということですね。
うーん。それでも例えばHDDのファームを書き換えられたらどうでしょう。
まあ、可能性って話なのであれですけれども。
# なんだか rsync とかどうでもよくなってきましたね。
> うー。Ryo.Fさんへのお試し質問なので第三者に答えられると困ったり。
こっちはスルーか ... orz
Re: (スコア:0)
Ryo.Fじゃないけど。
まずはLAN線を抜く。これは絶対前提。
5年ほど前だけど、社内で確かCodeRedだったかの騒ぎがあったときは
全員速やかにLAN線を抜け~って発令があったよ。
んで、「事前に」ウィルスチェックソフトが導入されている端末においては
念のため手動で全検索を掛けて、発見されなかった端末から再接続可、としてた。
未導入端末(基本的には使用前に導入するモジュールが提供されてインストールする
ことになってたから入ってない端末は特殊事情のかなり稀な端末になったはずだけど)
はディスクはずして別の端末
Re:たぶんみんな気になってるんだとおもう (スコア:2, 参考になる)
念の為言っておきますが、なぜ嫌なのか、なんてことを聞くのは無意味です。好き嫌いだって、あなたの非常識は私の非常識で [srad.jp]はないのですから。
さて、本題に戻ります。
まあ、最初にウィルスに感染しないように気をつけますね。もちろん、「123456」なんて甘々パスワード [srad.jp]は論外ですし、パスワード認証をIPアドレス制限と組み合わせないでインターネットへ曝露 [srad.jp]なんてことは有り得ません。クライアントPCでもそんなことはしませんし、サーバならなおさらです。
少なくとも、リモートログインは、rootは禁止しますし、一般ユーザは公開鍵暗号方式限定です。Linuxならiptables・SELinuxは有効化したままです。不要なサービスも止めます。ここまでが最低限の対策です。加えて、アンチウィルスソフトの導入も検討します。
#今時tcp_wrappersは使いませんよ、普通。
と、ここまでやって、ウィルスに感染したときどうするか、という話ができます。やってなければ話になりません。
#つまり、あなたのやったことは「話にならない」ってことです。
それでも感染が確認されたら、速やかにネットワークから切り離します。後はケースバイケースです。調査→再インストール→対策の実施→再接続あたりが標準コースでしょうかね。影響範囲が極限定的(例えば、rootkitを組み込まれる可能性がない等)で、駆除方法が判っている場合は、再インストールしない場合も有り得ます。
ただ、最低限の対策をしてなかった場合は、必ず再インストールです。何を仕込まれてるか判りませんからね。
で、こんなつまらない(=当たり前の)ことを聞いてどうしようってって言うんですか?
Re:たぶんみんな気になってるんだとおもう (スコア:1)
日記といえど/.JP日記はネット上で公開されてるので批判の対象になることは当然では?
批判されるのが嫌なら日記帳は自室の机の引き出しにでもしまっておくのが良いでしょう。
#コメント無効にしておけば日記にコメント付けられることは止められるでしょう。
#もっともこれだけナニな内容だとネット上で公開する限りリンクの上批判されることになるだけでしょうけども。
Re:たぶんみんな気になってるんだとおもう (スコア:1, おもしろおかしい)
Re:たぶんみんな気になってるんだとおもう (スコア:1, すばらしい洞察)
>私を雇った会社、上司、そしてもらってる安くない給料、
>ざまーみろって感じですね。
一度「123456」なんてrootのパスを設定して進入されている時点で…
Re:たぶんみんな気になってるんだとおもう (スコア:1)
このアナロジー間違ってますね。あなたのrootkitに対する態度は、HIVの感染率なんて低いからと甘く見すぎてコンドームも使わずに不特定多数とセックスしまくってる人間と同じです。
Re: (スコア:0)
> MD5の値もごまかし、全部のファイルを置き換えたと見せつつ置き換えてないかもしれません。
> が、私は残念なことにそんな素晴らしいrootkitは見たことありません。
実際存在してるみたいですね。アクセスしてきたプロセス毎にファイルの内容が差し替わるって聞きました。
Re:たぶんみんな気になってるんだとおもう (スコア:1)
少なくとも、一度感染した時点で何か怪しいのは事実だし、あとあとの問題は再インストールより面倒……
Re: (スコア:0)
>みんなrootkitに対してびびり過ぎなんだと思います。
>私は残念なことにそんな素晴らしいrootkitは見たことありません。
>なんでrootkitだってだけでみんな大騒ぎするのか解りません。
rootkitに対する認識の違いがそもそもの原因のようですね。しかし、
>もしかしたら3週間目に動き出すrootkitなのかもしれないしれませんが。
自分でこう言ってる時点でダウト、じゃないですか?
これからも責任を持ってずーっと監視し続けるなら問題ないと思いますけど。
Re:たぶんみんな気になってるんだとおもう (スコア:1)
Re: (スコア:0)
まあ評価すべき対応だと思いますけどね。
困難で原理原則論叫んでたら、助かる命も助からないよ。
Re: (スコア:0)
リスクをちゃんと評価して、それでも「再インストール不可だからなんとかしろ」と言ってきたならまだ同情の余地がありますが。
高木シンドローム (スコア:0)
運用=宗教だから。お前の運用は駄目だ。俺の運用はすごい。って。