アカウント名:
パスワード:
泣きべそ書きながらrsyncでルートキットを駆除しました
なぜまずいんですか?
第一に、他のマシン・サイトへ被害拡大を一刻も早く防がないとまずいです。それには、電源を切るか、ネットワークから切り離すのが一番早いです。DC内でワーム大繁殖、何てことになったら目も当てられません。未必の故意で損害賠償を請求されても仕方の無いケースだと思います。 第二に、rootkitを完全に排除しなければまずいです。Rootkitが組み込まれた疑いがあるのなら、そのOS上での調査結果は完全には信用できません。Rootkitは、システムコールを巧妙に書き換えて、ユーザから身を隠したままOS内に潜伏することが可能です。OSに組み込まれたrootkitを完全に排除する最も簡単で信頼性の高い方法は、OSを再インストールすることです。リモートから作業したので
お前は駄目だ、他のものに代われ。って無責任に言うのは簡単ですね。それで世の中が完璧になればいいのに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
実体験 (スコア:5, 参考になる)
DCに設置してもらってネットにつながってから色々作業しようと思ってました。
で、rootのパスワードに「123456」を設定してました。
メールで「ネットにつなぎましたよー」と連絡もらって、
さあ作業しようと思ったらログインできません。ぎゃふん。
東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。
ワームに犯された上、ルートキットを孕ませられてしまったので、
passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
泣きべそ書きながらrsyncでルートキットを駆除しました。
Re: (スコア:1)
Re: (スコア:-1, フレームのもと)
それに普通って誰の普通ですか?
Re: (スコア:5, 参考になる)
第一に、他のマシン・サイトへ被害拡大を一刻も早く防がないとまずいです。それには、電源を切るか、ネットワークから切り離すのが一番早いです。
DC内でワーム大繁殖、何てことになったら目も当てられません。未必の故意で損害賠償を請求されても仕方の無いケースだと思います。
第二に、rootkitを完全に排除しなければまずいです。Rootkitが組み込まれた疑いがあるのなら、そのOS上での調査結果は完全には信用できません。Rootkitは、システムコールを巧妙に書き換えて、ユーザから身を隠したままOS内に潜伏することが可能です。OSに組み込まれたrootkitを完全に排除する最も簡単で信頼性の高い方法は、OSを再インストールすることです。
リモートから作業したので
Re: (スコア:-1, フレームのもと)
私のサーバ1台だけを早急にネットワークから切り離さなければいけない理由がわかりません。
それに私のサーバが宿主だとしても、この場合は感染される方が悪いですよね?(トピックの主題的にも)
ワーム経由で仕組まれるルートキットなんてたかがしれてるし、
それらの検出は十分可能です。検出できないとしてもrsyncでファイルをすべて上書きすれば十分だと思います。
それで不十分だというなら、ウィルスにかかったPCもそのたびにWindowsを再インストールしなければなりません。
私はルートキットがなんなのか知っています。の上での対処です。
Re: (スコア:5, 参考になる)
Re: (スコア:0, フレームのもと)
ってもちろん疑えばきりがありません。
私だって手元にサーバがあれば再インストールしますし、
再インストールしなければいけないことなら地球の裏側のDCにだって行きます。
今回は全部の手間を考えた上で、妥当だろうという判断をしました。
それが駄目だと言われれば、はいそうですかというしかありません。
お前は駄目だ、他のものに代われ。って無責任に言うのは簡単ですね。
それで世の中が完璧になればいいのに。
Re: (スコア:1)
無知やそれによる失敗は仕方がありません。完璧な人間はいないのですから。大切なのは、その後の対応です。
Re: (スコア:0, フレームのもと)
Re:実体験 (スコア:2, すばらしい洞察)
Re: (スコア:0)