2009年03月15日 04:45 by AzureStone

はじめまして。Linux初心者です。


一昨日、3日かけて初心者なりに、やっとcygwinでOPENsshの使える環境を構築したのですが、今日sshでプライベートサーバーにアクセスしようとしたのですが、何度コマンドを打ち込んでもアクセス拒否という文字が出ました。


おまけに、変なアスキーアートでデカデカと落書きまで残されていました。


ログを見てみると大量に不正アクセスのログと知らないIPアドレスが残っていました。


乗っ取られたプライベートサーバーは、もう脱却はできないのでしょうか?


また作って3日目で、こんなことってありえるんでしょうか?


今からセキュリティー面を固めていこうと思って、勉強し始めた矢先にこんなことが起こってしまい、かなりショックです。

pingsweepやnmapで逆に相手を探知しようと考えたのですが、完全に自分のサーバーにアクセスできない状態なので、どうしようもありません…

何か良い対策または、解決策があればご教授下さい。
お願いします。

1: 口コミさん : 2009-03-15 05:03
緊急の起動CD、ubuntuとかcentosとかのLiveCDで起動して
chkrootkit等その手のツールを使用することを希望していると思いますが。。。

フォーマットからやり直したほうが確実かも。(^^;

2: 口コミさん : 2009-03-15 05:14
> また作って3日目で、こんなことってありえるんでしょうか?

昔、構築して2時間目でアタックが始まりました。


グローバルにNATなどでポートを開放しているのですか?

SSHじゃなくてPCを直接いじれないのですか?

どちらにしても普通にローカルで構築してからルータに穴を開けるんでしょうけど、現状がどの段階かわからないので何とも言えないです。

アドバイスとしては
SSHのポート番号の変更と鍵認証必須で相当強くはなると思います。

私もフォーマットからをお勧めします。
やったことをメモっとけば結構すぐに出来ますよ。
3: 口コミさん : 2009-03-15 06:06
サーバを立ててからセキュリティを勉強するというのが順番が逆じゃないかな。
4: 口コミさん : 2009-03-15 06:22
> 熊(kazu)猫さん

ありがとうございます電球

もう一度、フォーマットから
作り直してみます冷や汗

今度は違うディストリビューションで
もう一度トライして見ます力こぶ

PC自体は無事なのですが

ssh -IPアドレス 

で起動しようとしたときに、
一度は接続に流れるんですけど
最後に『アクセス拒否』って
出てアスキーアートで
変な落書きが出てて
『バ〜カ』
って書かれてました涙


相手をIPから辿れるようで
あれば探してみたいと
思います指でOK




> takacello♪さん


ありがとうございます電球


セキュリティーを構築する間もなく
sshを占拠されてしまうんですね冷や汗

PC自体は動くんですけど
接続コマンドを打ち込んだときに
sshのトンネル(?)がcloseに
なってるみたいなんです…


そこでカバのアスキーアートが出て
『hippo say:welcome to cygwin』

って落書きが…あせあせ(飛び散る汗)


要はバカって
言いたいんでしょうね冷や汗あせあせ(飛び散る汗)


一応、PuTTYで鍵は作ってたんですけど
どうやって侵入されたのか…
自分の経験やスキルでは
まったく分からないですあせあせ(飛び散る汗)


SSHのポート番号って
sshd config内のソース内にある奴
でいいですかね?

とりあえず
もう一度、チャレンジしてみます電球
5: 口コミさん : 2009-03-15 06:28
> ともさんさん


そうですねわーい(嬉しい顔)

まさか、こんなに早く侵入されるとは
思いませんでした。

サーバー立てる前にできる
セキュリティーって何かありますか?
6: 口コミさん : 2009-03-15 06:46
>サーバー立てる前にできるセキュリティーって何かありますか?
というか。

セキュリティはネットワークに公開する前に(『サーバー』になる前に)構築するのです。
SSHを使って、という時点で既にサーバーになっていることがわかりますか?
『サーバー』というのは文字通り、なにかをサーブ(提供)しているモノのことを指しています。
安全が確認されたもの以外をローカル以外に曝してはなりません。
「ローカル」と読んでいるのは、最も基本的には「コンソール」によるアクセスによる作業状態です。
# 広義では、セキュアなローカルネットワーク内をも「ローカル」と呼びますが。

1.OS等の導入。コンソール以外からアクセス出来てはいけない。
2.OS等の設定。コンソールから作業する。
3.そのほか必要なサービス等の設定。引き続きコンソールから。SSHサーバーの立ち上げもココ。
4.安全なSSHサーバーが立ち上がったら、SSH経由で作業を続けてもOK。

SSHサーバーのセキュリティに関する設定については、調べればいくらでも情報があるはずですから、勉強してくださいね。(自分で調べ、自分で実験し、自分の身に付きます。)
# とりあえず、作業するSSH接続元のIPからしかSSHサーバーへの接続を許可しないとか、そのくらいの状態から始めましょう。

3のtakacello♪さんが仰っているように、何も設定してないSSHサーバーがグローバルからアクセスできる状態になっていたように、読めますね。

>どうやって侵入されたのか… 自分の経験やスキルではまったく分からないです
わかるところから順にやってください。確実なことを一つずつ積み上げてください。
最初は誰だってわからないところから始めるんですから。
7: 口コミさん : 2009-03-15 07:06
ちょっと気になったので・・・

"The Hippo says: Welcome to"というメッセージとアスキーアートはCYGWINが表示しているものじゃないでしょうか?
http://www.nabble.com/Removing-the-hippo-td19800793.html
8: 口コミさん : 2009-03-15 07:25
cat /etc/motd
としたところ、まさにきーすさんの言うとおりでした。

motd は、ログインしたユーザーに、システム管理者が
歓迎メッセージや定期メンテナンスなどのお知らせを、
自由に書いておいて、ログインした人にお知らせする
内容を書くテキストファイルです。

今回は、cygwin の作成者がユーザーに歓迎メッセージを
アスキーアート付きでお知らせしてくれたということ
でしょう。
アタックではないようですね!

一度上記コマンドを試されてください。
9: 口コミさん : 2009-03-15 07:30
>何度コマンドを打ち込んでもアクセス拒否という文字が出ました。
自分もcygwinで試してみましたが、アクセス拒否されました。
「access denied」ですよね?

前出の方がご解説されていますが、
単にsshサーバーが起動していないからです。
(22ポートでソケット待ち受けしていない場合、
 OSがアクセス拒否します)

っと、cygwinのsshサーバ用設定は自分ではすぐには把握できません。
まずは”sshd_config” "cygwin”などでググられてはどうでしょう。

Centos などでは、/etc/ssh/sshd_config があるのですが。。
10: 口コミさん : 2009-03-15 07:43
失礼しました。あせあせ(飛び散る汗)

もう一度確かめたところ、
>access denied
ではなく、
> Connection refused
でした。
11: 口コミさん : 2009-03-15 07:58
とりあえずwhoisしたらいいお^^
不正アクセスは立派な違法行為なので本気で告訴とか考えたら
ISPとかも対応させれるお。
警察もうごかせるお。
不正アクセス以外にも、サーバ壊されたって事で器物破損もいけると思うお。
でも堂々と痕跡を残してるとこを見ると100%厨房の仕業だね。
起訴してもお金取るのは難しいお。


12: 口コミさん : 2009-03-15 08:00
>Welcomeメッセージ
cygwin はおちゃめさんなんですね。

それはさておき。
簡単な無料の仮想環境を用意するのと、どっちが敷居が高いんでしょうか。
今なら1CDの選択肢もあります。
cygwin はなにかとローカルルールが多い気がするので、勉強に向いているのかどうか…。
13: 口コミさん : 2009-03-15 08:18
別PC,デュアルブート環境がないなら、VirtualPCで仮想環境用意してFedoraでもインストールされてはいかがでしょうか?

まぁ、サーバはセキュリティ設定終わるまでInternetに接続しないことが望ましいですよ。
私も昔それを知らずイタリアとかからアタックが・・・

まずはSSH、Hostsあたりは重点的に設定を。
Webmin入れてGUI的に環境確認すればわかりやすいですよ。
14: 口コミさん : 2009-03-15 09:47
cygwinはUNIXとは別のとこではまって時間を無駄にする可能性たかくないない?
僕も安いPCでlinux入れたほうがいいと思うよ。
15: 口コミさん : 2009-03-15 14:02
cygwin入れてるPCが最初からグローバルに出てる・・・わきゃ無いですよね?

とりあえず、鍵つくって、設定変えてからグローバル振りましょうよ・・・

元の、Win環境の方が心配です。。

「乗っ取られたプライベートサーバー」って言うんだから、別だとは思いますが。

とりあえず、自分で制御できないサーバはNICからケーブルを抜いてください。
他人の迷惑以外の何者でもありません。
16: 口コミさん : 2009-03-15 14:31
私も、いつもcentosをネットワークインストールしてるんで、
このトピみて心配になりました。。
17: 口コミさん : 2009-03-15 20:03
# ネットワークインストールは、厳密には怖いですが、
# インストール設定においてガチガチの最低限設定はできるので、
# そこから始めれば大抵は大丈夫です。
# 勿論、デフォルトではそうなっていないと思いますけどね…
# # インストールソースのIPのみと接続していれば、という話。
18: 口コミさん : 2009-03-15 21:19
Linuxは常用的に使うけど
いまだcygwinは好きくない

Win版のFFmpegを自力コンパイルした時にいやというほど苦労した経験がある
19: 口コミさん : 2009-03-17 07:42
TCPWrapperとかiptablesは勉強しておいた方がいいかも?
あとは/etc/ssh/sshd_configのPermitRootLoginはnoにするとかかなぁ〜?
公開鍵暗号はやっておくべきで、パスワ-ド認証はしないようにしておくべきだと思います。
20: 口コミさん : 2009-03-17 12:40
取り合えず、NAT環境で、インストールしてから、
固まったらIP周りの設定さわればいいんでねぇの?

スレッド一覧

043:はじめまして 043:SELinuxのポリシーの修正についてです。 急成長中のベンチャー企業で働いてみたいとおもいませんか?! 065:冷却方法 067:サーバーダウン→504エラー 玄人箱に関して 052:DNSサーバーは僕が憎いに違いない ■ 単発質問コーナー 基本すぎてすみません・・・。 079:NICドライバのインストールまたは認識について 069:初めまして PHPスクリプトでメールが送信できません。 061:linux os のアンインストール方法 063:linux os アンインストール 方法(再度no付け) 056: ドメインとホスト名について。 055:mod_layoutで動的フッターを挿入 044:イントラで2つのサイト 031:パティションどうきっています? 019:mixiのようなサイトを作れる方募集!! 014:500人、超えないかなぁ〜 066:サーバーに適したマザーボード dd dumpを使ってのバックアップ、restoreについて。 012:初心者におすすめのLinuxは? 077:よろしくです 078: Web サイトが携帯電話から見られない 062:webmaster だけがメールを受け付けない 057:ご質問〜windows領域削除方法〜 053:安いサーバ情報・・・。 037:データベース認証について 029:Apacheに異常アクセスログ 017:おすすめのUPSは? 009:お勧めの無料DDNSサービスは? 002:White Box Enterprise Linux 3.0について 0023:初心者です、よろしくお願い致します。ubuntu ☆教えて☆Linuxをマスターしたい CentOS 5 i386インストール時のトラブル こんなlogがでてるんですが・・・ 初心者です。 MySQLのアップグレードについて xdm/KDE ログオフ時にスクリプトを走らせたい 086:webツール(便利ツール等) 072:AMD VS Intel とりあえずDBサーバを自鯖にしてみたいのですが 060:Squidの設定->DNSエラー 041:【Linux】apacheで複数サイト作成したいのですが・・・ 022:LINUXのDistribution 023:初心者ですみません。。。Fedora Core3 013:vsftpdのchroot設定について 001:DynamicDNS様、様々〜笑 【愛知、常駐プログラマ募集】 064 : vsftpdで外付けHDDを公開する方法を教えてください。 038:sambaで共有できません・・・ knoppixでサーバーを構築しました。 010:お勧めの書籍は? 028:自作か購入か… 064:CPU使用率が高いきが・・・ 054:マシンが一台しかなくてもお金がなくても・・・。 032:(;´Д`)え、かなり増えてきている… 025:ipnuts の新バージョンでました。 【求人】港区でのお仕事です【時給1700円以上】 007:おすすめ固定IP 1、ダイレクトEメールを送りたい ソフトウェアレイドについて。 053: 譲ります 085:覚えておきたいコマンド 070:ファイルをアップしても0kbになる 068:精神対策(堕ちない自鯖) アクセスが無いけどトラフィックがある 自鯖が止まる理由 034:pop3が利用できません 059:500 Can't connect to www.google.co.jp:80 (Bad hostname 'www.google.co.jp') 048:サブドメイン転送処理の賢い方法 045:sambaが見えません。 040:はじめまして 030:Linuxの情報入手、勉強方法 011:CentOS5.7で自宅サーバで外部公開に失敗します。 Postfix メールサーバー 自宅サーバ 必見!あのDCDが来日!! 001:自宅の様子を写真をw 080: DMZの構築方法 profixでバーチャルサーバ 081:Xウィンドウが起動しない(GNOME) 075:サブドメインとIPアドレス ローカル接続のDB 韓国固定IP , 韓国からのDNSが 必要なら 連絡ください。 はじめまして! 質問 Perl cpan2rpmのインストール/使用方法 新品のサーバが¥14,800から( ・_・;) サーバーにメッセージ多発 ルーセント・グローバル、Linuxガジェット開発を促進へ 自宅サーバ公開方法 084:OSは64bitか32bitか 071:サーバ用の部品 066:自鯖が止まる理由改 047:ディレクトリによって使われるphp.iniを変える的な動作をしたい 035:RAID 033:アクセスログ検索スクリプトってないですか? 026:CGIファイルの関連づけ 016:結構前からあった、自鯖ML 004:(;´Д`)え、微妙に増えてきている… 【愛知、常駐プログラマ募集】 httpサーバを作りたい。サーバマシンがネットワークにつながらない問題 066:CentOSでの仮想化について教えてください〜  067:サーバーを1週間ダウンさせてしまいました。 015:使用ディストリビューション 073:おすすめルータ 076:ダイナミックDNS下で2台のホスト名にアクセスする方法 067:回線対策(落ちない自鯖) メールサーバーコミュを立ち上げました ディレクトリの破損!? perlバスについて質問 056:biglobeから中継サーバについて 042:Bフレッツ(or ADSL)マルチセッションでセカンダリDNS 018:X端末エミュレータ 005:自鯖でも、お手軽安く使える独自ドメイン Yahoo画面、あざむきかた知ってる方、ご連絡お待ちします。 064: 帯域制限のないプロバイダ 質問です。 OPENsshのセキュリティーについて 082:外付けHDD増設の手法と機器 074:おすすめOS 他人のADSLモデムに!! 039:Apacheの設定 050:メール受信をスイッチにしてPHPを起動させるサイト 036:割り当てるグローバルIPについて 008:White Box Enterprise Linux ML 正式版稼働報告! グリー携帯無限認証 どなたかご自宅で教えていただけませんか 003:哲学?持論? ネットワークインストールについて 083:Squidの設定について 011:よろしくおねがいします。 058:Sambaで転送したファイルが表示されない 051:SPAMフィルターの構築について [bsfilter+MeCab] 049:今までのトピックのサマリー 046:ドメインのname serverの変更 029:TCPIPの勉強 027:Yahoo!BBの場合の設定について 020:DICEの質問 006:ClientOSにLinuxを使用し始める。

サイト内検索