大河平@現在再インストール中です 今野さん、きよさん、ありがとうございます > こんにちは、今野です。 > > もしかして、telnetとかsshとかでshellを解放していますか? いいえ。telnet、ssh等でのshell開放は行っておりません telnetに関してはサービスも停止しています > きよです > > Vine-2.1.5 -> Vine-2.6r1 だと、バージョンがおおきく > 変わっているパッケージも多いと思います。 > > バージョンアップがあった場合、設定ファイルがそのままでは > 使えないことや、設定ファイルの文法上問題はないし起動はするけど > 特定の機能で不具合が出ることもあります。 > > 私が rpm や apt でアップデートした時に経験したことだと > ・proftpd で DefaultRoot ~ を設定していると上書きアップロードが > できない(設定変更で回避できた) > ・procmailのパーミッションが変わっていて、新しいメールボックスを > 作れない(procmailを使うのをやめた) > ・apache で vartualhost の設定がうまく行かなかった > (とりあえず、設定ファイルを1から書き直した) > > など、そのままでは動かないケースがいくつかありましたが > 修正するのは簡単です。 そうですか。 このサーバは基本的にweb、mail、FTPだけなので新たに設定しなおすことにします。 ま、ユーザも150ぐらいなので手打ちでも対応できるぐらいの数ですし・・・ > むしろ、以前の設定に穴があった、または設定ファイルを > 改竄されている可能性(/etc/passwd にuid 0のアカウントを追加されてるとか > /etc/ssh/ssd_config でrootでパスワードなしでログインできるように > されてるなど)もありますので、以前の設定ファイルを参考に > 設定を見直しつつ、新たに設定ファイルを作りなおす方が良いかなと > 個人的には思います。 > > また、その場しのぎとしては、ipchains で運用に必要なポートを > 明示的に許可して、その他は全て禁止するのが良いと思います。 > > カーネルモジュールタイプの rootkitなどで、カーネルからの > 情報が信用できなくなっているならどうしようもありませんが > ipchainsが正常に動作さえすれば、少なくとも、謎のポートで > 起動しているバックドアがあったとしても接続は拒否できるはずです。 > > ただ、これも必要なサービスにバックドアをしかけられていたら > アウトなので、本質的な意味では気休めにすぎません。 そうですね。 もう再インストールを行っているので基本的には上記の教えていただいている操作は 今回は行いませんが、今後の参考にさせていただきます > > #クラッキングされたのが初めてなので、セキュリティーホール対策の大事さ > > が改めて実感です > > #しかし、なんでクラッキングなんてするんでしょうね・・・ > > > > "そこに穴があったから"ということなんだと思います。 ん〜・・・ ま、そういうことなんでしょうねぇ〜・・・ > # 失敗から学べることは多いです。 > # 今後の糧にしましょう。 > # 本当はクラックされていなかったとしても、この件で調査した > # 内容や、とった対応は今後いくらでも活きてきます。 ありがとうございます。 今後に生かせるように努力いたします。 いろいろと助言や情報ありがとうございました。 現在クラックされているサーバの情報はキープして調査しますので、今後何かわかり ましたら報告させていただきます また、データ移行に関して参考にできるサイト等がございましたらお手数でしょうが ご紹介いただけると助かります よろしくお願いいたします