ログイン履歴の確認

Question 1

誰かがあなたの箱で遊んだり、何らかの悪戯をしているのに自分の痕跡を選ばないとしましょう。

ログイン履歴の確認

コマンドライン経由

w
last

ログファイル経由

/var/log/auth.log (debian/ubuntu)
/var/log/secure (RedHat/CentOS/Fedora?)

その他の可能性

あなたのボックスは仮想マシンであり、以前の状態（スナップショット）への継続的なロールバックがあります。
多くのVPSは実際にルートパスワードをリセットします。ルートパスワードを変更するには、ベンダー/ホスティングWebインターフェースを使用する必要があります。それ以外の場合は、以前のバージョンに変わります。

Answer

誰かがあなたの箱で遊んだり、何らかの悪戯をしているのに自分の痕跡を選ばないとしましょう。

ログイン履歴の確認

コマンドライン経由

w
last

ログファイル経由

/var/log/auth.log (debian/ubuntu)
/var/log/secure (RedHat/CentOS/Fedora?)

その他の可能性

あなたのボックスは仮想マシンであり、以前の状態（スナップショット）への継続的なロールバックがあります。
多くのVPSは実際にルートパスワードをリセットします。ルートパスワードを変更するには、ベンダー/ホスティングWebインターフェースを使用する必要があります。それ以外の場合は、以前のバージョンに変わります。

Question 2

私は何が起こっているのかを共有したいと思いました。

この質問をした人はまさに私です。非常に古くて繰り返される質問です。

問題はここにあります：

http://hotechs.com/2008/10/user-root-blocked-cphulk-brute-force-protection/

cpanelを使用しています。

Cpanelには、無差別ロギングからシステムを保護するcphulkがあります。

問題は、

多くの人が同じ問題に直面しました。解決策は、あなたのIPがcphulkによってホワイトリストに含まれていることを確認することです。また、本機を再起動してもしばらく動作することがあります。簡単な解決策はありません。

Answer

私は何が起こっているのかを共有したいと思いました。

この質問をした人はまさに私です。非常に古くて繰り返される質問です。

問題はここにあります：

http://hotechs.com/2008/10/user-root-blocked-cphulk-brute-force-protection/

cpanelを使用しています。

Cpanelには、無差別ロギングからシステムを保護するcphulkがあります。

問題は、

多くの人が同じ問題に直面しました。解決策は、あなたのIPがcphulkによってホワイトリストに含まれていることを確認することです。また、本機を再起動してもしばらく動作することがあります。簡単な解決策はありません。

Question 3

この問題に関する他の記事では、システムが感染しているかどうかを確認する方法に関する情報が見つかりました。

任意のプログラムを実行します。

rkhunter  
chkrootkit

バイナリファイルの整合性の確認

rpm -Va .

すべてのルート所有ファイルで suid ビットがオンになっていることを確認します。これらのファイルは、ユーザーに関係なく root として実行されます。使用：

find / -perm 4755

生成されたファイルにはrwsr-xrx権限があります。「s」は、suid ビットがオンであることを示します。すべてのユーザー（最終的にはrx）が実行できるため、これはすべてのユーザーがrootとして実行できることを意味します。 4777、4775、4755などのそれぞれに対して検索を実行しました。 - デフォルトでは、ユーザー（ルート）を除くすべての人がファイルに書き込むことができるすべてのモードのために4744を検索する理由はありません。

http://www.linuxquestions.org/questions/linux-security-4/root-password-keeps-changing-372647/

また、パスワードをリセットするには、GRUBブートメニューからlinux16行に追加してください。

rw init=/bin/bash

ctrlによると -x

ルートパスワードのリセット

passwd

ユーザーパスワードのリセット

passwd [user]
touch / .autorelabel
/sbin/reboot -f

http://linuxbsdos.com/2015/03/19/how-to-reset-passwords-on-fedora-21-and-22/

さらに、影響を受けたシステムでLinux.Xor.DDoSトロイの木馬が発見されました。まだ削除する方法を探しています。しかし、侵入を防ぐ効果的な方法は秘密鍵を使用することです。

SSHサーバーも実行している場合は、強力なパスワードでキー認証を設定してから、パスワード認証のみをオフにしてください。これにより、SSHによって設定された公開/秘密鍵を使用して認証されます。攻撃者が適切なキーを持っていないため、システムの接続が失われ、無差別の代入攻撃がほとんど不可能になります。

ssh-keygen -t rsa

指示に従ってパスワードを入力し、キーをファイルに保存します。次に、SSH経由で接続したいコンピュータにキーをコピーします。

ssh-copy-id username@remote_host

最後にキーを送信した後、次のコマンドを使用してログインできます。

ssh username@remote_host

https://www.bleepingcomputer.com/forums/t/562586/the-newly-discovered-xorddos-trojan-infects-linux-systems-to-possible-build-an/

https://www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/s2-ssh-configuration-keypairs.html

SSH パスワード確認を無効にします。

cd /etc/ssh
cp sshd_config sshd_config.orig
vi sshd_config

次の設定を変更してください。

PermitRootLogin     no
PasswordAuthentication  no
UsePAM          no

SSHの再起動

/etc/init.d/ssh restart

https://www.howtoforge.com/set-up-ssh-with-public-key-authentication-debian-etch

Answer

この問題に関する他の記事では、システムが感染しているかどうかを確認する方法に関する情報が見つかりました。

任意のプログラムを実行します。

rkhunter  
chkrootkit

バイナリファイルの整合性の確認

rpm -Va .

すべてのルート所有ファイルで suid ビットがオンになっていることを確認します。これらのファイルは、ユーザーに関係なく root として実行されます。使用：

find / -perm 4755

生成されたファイルにはrwsr-xrx権限があります。「s」は、suid ビットがオンであることを示します。すべてのユーザー（最終的にはrx）が実行できるため、これはすべてのユーザーがrootとして実行できることを意味します。 4777、4775、4755などのそれぞれに対して検索を実行しました。 - デフォルトでは、ユーザー（ルート）を除くすべての人がファイルに書き込むことができるすべてのモードのために4744を検索する理由はありません。

http://www.linuxquestions.org/questions/linux-security-4/root-password-keeps-changing-372647/

また、パスワードをリセットするには、GRUBブートメニューからlinux16行に追加してください。

rw init=/bin/bash

ctrlによると -x

ルートパスワードのリセット

passwd

ユーザーパスワードのリセット

passwd [user]
touch / .autorelabel
/sbin/reboot -f

http://linuxbsdos.com/2015/03/19/how-to-reset-passwords-on-fedora-21-and-22/

さらに、影響を受けたシステムでLinux.Xor.DDoSトロイの木馬が発見されました。まだ削除する方法を探しています。しかし、侵入を防ぐ効果的な方法は秘密鍵を使用することです。

SSHサーバーも実行している場合は、強力なパスワードでキー認証を設定してから、パスワード認証のみをオフにしてください。これにより、SSHによって設定された公開/秘密鍵を使用して認証されます。攻撃者が適切なキーを持っていないため、システムの接続が失われ、無差別の代入攻撃がほとんど不可能になります。

ssh-keygen -t rsa

指示に従ってパスワードを入力し、キーをファイルに保存します。次に、SSH経由で接続したいコンピュータにキーをコピーします。

ssh-copy-id username@remote_host

最後にキーを送信した後、次のコマンドを使用してログインできます。

ssh username@remote_host

https://www.bleepingcomputer.com/forums/t/562586/the-newly-discovered-xorddos-trojan-infects-linux-systems-to-possible-build-an/

https://www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/s2-ssh-configuration-keypairs.html

SSH パスワード確認を無効にします。

cd /etc/ssh
cp sshd_config sshd_config.orig
vi sshd_config

次の設定を変更してください。

PermitRootLogin     no
PasswordAuthentication  no
UsePAM          no

SSHの再起動

/etc/init.d/ssh restart

https://www.howtoforge.com/set-up-ssh-with-public-key-authentication-debian-etch

Question 4

私の考えでは、ネットワークに同じIPアドレスを持つ別のコンピュータがあり、クラッシュしているようです。時にはサーバーにログインすることもあり、時には悪意のあるサーバーにログインすることもあります。

Answer

私の考えでは、ネットワークに同じIPアドレスを持つ別のコンピュータがあり、クラッシュしているようです。時にはサーバーにログインすることもあり、時には悪意のあるサーバーにログインすることもあります。

ログイン履歴の確認

答え1

ログイン履歴の確認

コマンドライン経由

ログファイル経由

その他の可能性

答え2

答え3

答え4

関連情報