アカウント名:
パスワード:
泣きべそ書きながらrsyncでルートキットを駆除しました
なぜまずいんですか?
第一に、他のマシン・サイトへ被害拡大を一刻も早く防がないとまずいです。それには、電源を切るか、ネットワークから切り離すのが一番早いです。DC内でワーム大繁殖、何てことになったら目も当てられません。未必の故意で損害賠償を請求されても仕方の無いケースだと思います。 第二に、rootkitを完全に排除しなければまずいです。Rootkitが組み込まれた疑いがあるのなら、そのOS上での調査結果は完全には信用できません。Rootkitは、システムコールを巧妙に書き換えて、ユーザから身を隠したままOS内に潜伏することが可能です。OSに組み込まれたrootkitを完全に排除する最も簡単で信頼性の高い方法は、OSを再インストールすることです。リモートから作業したので
お前は駄目だ、他のものに代われ。って無責任に言うのは簡単ですね。それで世の中が完璧になればいいのに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
実体験 (スコア:5, 参考になる)
DCに設置してもらってネットにつながってから色々作業しようと思ってました。
で、rootのパスワードに「123456」を設定してました。
メールで「ネットにつなぎましたよー」と連絡もらって、
さあ作業しようと思ったらログインできません。ぎゃふん。
東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。
ワームに犯された上、ルートキットを孕ませられてしまったので、
passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
泣きべそ書きながらrsyncでルートキットを駆除しました。
Re: (スコア:1)
Re: (スコア:-1, フレームのもと)
それに普通って誰の普通ですか?
Re: (スコア:5, 参考になる)
第一に、他のマシン・サイトへ被害拡大を一刻も早く防がないとまずいです。それには、電源を切るか、ネットワークから切り離すのが一番早いです。
DC内でワーム大繁殖、何てことになったら目も当てられません。未必の故意で損害賠償を請求されても仕方の無いケースだと思います。
第二に、rootkitを完全に排除しなければまずいです。Rootkitが組み込まれた疑いがあるのなら、そのOS上での調査結果は完全には信用できません。Rootkitは、システムコールを巧妙に書き換えて、ユーザから身を隠したままOS内に潜伏することが可能です。OSに組み込まれたrootkitを完全に排除する最も簡単で信頼性の高い方法は、OSを再インストールすることです。
リモートから作業したので
Re: (スコア:-1, フレームのもと)
私のサーバ1台だけを早急にネットワークから切り離さなければいけない理由がわかりません。
それに私のサーバが宿主だとしても、この場合は感染される方が悪いですよね?(トピックの主題的にも)
ワーム経由で仕組まれるルートキットなんてたかがしれてるし、
それらの検出は十分可能です。検出できないとしてもrsyncでファイルをすべて上書きすれば十分だと思います。
それで不十分だというなら、ウィルスにかかったPCもそのたびにWindowsを再インストールしなければなりません。
私はルートキットがなんなのか知っています。の上での対処です。
Re: (スコア:5, 参考になる)
Re: (スコア:0, フレームのもと)
ってもちろん疑えばきりがありません。
私だって手元にサーバがあれば再インストールしますし、
再インストールしなければいけないことなら地球の裏側のDCにだって行きます。
今回は全部の手間を考えた上で、妥当だろうという判断をしました。
それが駄目だと言われれば、はいそうですかというしかありません。
お前は駄目だ、他のものに代われ。って無責任に言うのは簡単ですね。
それで世の中が完璧になればいいのに。
Re: (スコア:1)
無知やそれによる失敗は仕方がありません。完璧な人間はいないのですから。大切なのは、その後の対応です。
Re:実体験 (スコア:0, フレームのもと)
Re:実体験 (スコア:2, すばらしい洞察)
Re:実体験 (スコア:2, すばらしい洞察)
件のサーバをまだ管理されているのであれば、他の方が書かれているように再インストール等の対策を今からでも取られた方がよろしいでしょう。
また、バックエンドにDBや管理LANなどはないでしょうか。
あった場合はそれらにつながっているサーバも攻撃を受けた可能性があります。
すでに下記のように書かれていますが、気になったので念のため。
> イントラネットならともかく、グローバルIPアドレス振られたサーバがほとんどのDCで、
> 私のサーバ1台だけを早急にネットワークから切り離さなければいけない理由がわかりません。
誰も現在のサーバの状態に言及してないので、よけいなおせっかいと思いつつもACで初投稿。
Re:実体験 (スコア:1)
そんな態度を続けてると、誰も何も教えてくれなくなりますよ。
Re: (スコア:0)
少なくとも一般的なフィーリングとはズレていると思いますよ。
あなたのやっていることは事故米を食用販売していた会社の社長と同じです。
確かに、実際に健康被害は無いのかもしれませんが、一般的に受け入れられない事です。
そのことが理解できない、する気が無いのであれば仕方が有りません。
私はあなたと仕事で関係することが無いことを祈るだけです。
Re: (スコア:0)
Re: (スコア:0)
みんながrootkitにやられた場合再インストールしなければならない言ってるのは、
rootkitが自分を隠して何をしてるかわからないからだろうけど、
彼女はそれを把握し、自分の責任で駆除したって言ってるんだから、
私はそれを信頼してます。なんかあったら彼女が責任取ればいいんだしw
と現場から援護射撃。
ヒソカに恋心があるのでAC
Re: (スコア:0)
この場合の「ヒソカに」は「表面的に」の意味でしょうか?
一度くらい食事してあわよくば一晩一緒に過ごせればいいってレベルの恋心なのでしょうか?
そうでないなら、もっと違う付き合い方があると思うのですが。
# とあることで警察や消費者センターに相談したらそういうツッコミを食らった
Re:実体験 (スコア:2)
> 私はそれを信頼してます。なんかあったら彼女が責任取ればいいんだしw
「その程度の対応では,sayuporn氏の責任・懲戒・退職だけでは済まず,会社の消滅までいくかもしれないぞ。それで十分と判断するのは止めたほうが,会社の仲間にも迷惑がかからない」
という意味の集中砲火なので,中途半端な援護はsayuporn氏のためには決してならないと思う。
> なんかあったら彼女が責任取ればいいんだしw
恋心を抱いている当の相手も見ている場で,突き放されたようにsayuporn氏に受け止められて氏を傷つけかねない,その台詞はうかつすぎるような・・・。
この書き込みがばれたら,一生,秘めた恋で終わるな。・・・あ,sayuporn氏がWebアクセスログも見れる立場だったら,もう誰が書いたのかバレバレなのか。
Re: (スコア:0)
社員全員揃ってこの対応に問題は無かったという認識なら、確かにその通りだと納得しました。
Re:実体験 (スコア:1, すばらしい洞察)
うちの会社の場合、お客様と結ぶ契約書/同意書/誓約書の類に個人が何か責任を負う条項が入っていた場合、法務が通しません。今回のように業務上のミスはもちろん、たとえば業務時間外にお客様の入館証を紛失し悪用された場合でも、損害賠償責任は会社が持ちます。
これは社員を尊敬していないわけではなく、逆に、「尻はぬぐってやるから思い切って仕事してこい」という意味だと思っています。
(もちろん後で社内規定に従って始末書なり懲戒なりがあります)
このあたりはうちが特殊なわけではなく、まあ多くの会社がそうやっていると思います。
もう1点は同僚を尊敬するということについて。
技術屋の場合、レビューなんてのはコードから提案書まで様々なものがありますが、それは決して同僚を信頼・尊敬していないわけではなく、チームとしてよりよいものを作り上げる共同作業というだけのはずです。
個人が「作業完了した」だけではダメで、最低限、チーム内で報告書を検討してチームとしてそれが最善であったかを検討する「レビュー」がないというのがなんとも不思議です。
で、この2点を合わせて考えると、あなたの会社は個人事業主の集まりのようなところで、お互い尊敬しあい、干渉も助言もせず、責任も個人で持つということなのでしょうかね? 社風とか文化はそうそう変わるものではないので、それで今までうまく行ってるってことですよねぇ・・・??
詳しく (スコア:0)
一体どういう相談の仕方をしたらそういうツッコミを食らうのか大いに興味がわいてきました。
Re: (スコア:0)
どうでもいいツッコミですけど (スコア:1)
バレたなら「秘めた」恋では終わらない気が。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。