復旧しました
Debian 5.0をクリーンインストールして、メールサーバ・Webサーバの機能をとりあえず復旧。やれやれ。我ながら情けない。誰かに被害を及ぼしてたとしたら、ゴメンよ…。
で、何があったかというと、phpMyAdminのセキュリティーホール(情報源その1・その2)から侵入されて、root権限奪われて、画像のような変なツール(サーバのデータを抜き取ったり改ざんしたり他への踏み台にできそうな感じorz)を仕込まれた模様。ツールのファイルのタイムスタンプからすると、1/20にやられたっぽい。確かにそのぐらいの時期からサーバの動作が怪しかった気がする。その辺すら改ざんされたら断定できないけど…。
それから、netstatとかlsとかの普通のコマンドの動作がおかしくなってた(セグメンテーションフォルトで落ちたり環境変数のエラーが出たり…)ので、上のツールを足がかりに他にも何か突っ込まれてる気配。
それ以上の詳しいことはまだ分からんけど、とりあえず汚染されたHDDは読み取り専用で温存しておいて、別のHDDで復旧。後日ログでも調べることにするか…。
ところで、Debianを入れなおすためにネットワークインストール用のCDイメージ(debian-504-i386-netinst.iso)を使おうと思ったんだけど、焼いても焼いても認識できないCD-Rになっちゃう(手持ちのドライブの中では外付けDVDマルチだけしか読めない)ので、DVDイメージをがんばって落として(MGOのアップデート以外で初めてBitTorrent使ったw)やっとインストーラの起動に成功したりとか、1回目のインストールではtaskselでアレもコレも入れたせいか、インストールにえらい時間かかった上にしばらく使ってるとハングアップする(多分gnomeあたりのX Window環境がウチのPCと相性が悪いんじゃないかな)とか不安定だったりで、2回目のインストールでやっとマトモに使える環境なった。あとはsambaと印刷系かな。
とりあえず、phpMyAdminは時々使うのでやっぱり入れざるを得ないんだけど、アクセス制限をちゃんとかけといた。phpMyAdminのバージョンとしてはNG世代っぽいけど、Debianのページには「修正済」となってるから、パッチでも当たってるのかな。
それから、パスワードファイルを奪われてるかもしれないので、長年使ってたパスワードを変更。覚えなおすのが大変だ…。
そうそう、ブログが重かったのは、攻撃とは直接は関係なかったかも。Neucleusの、メンテの放棄されたプラグインでアクセスカウンタを表示してたんだけど、こいつのDBが肥大化しとった影響が大きかったみたい。カウンタを外したらずいぶん軽くなった。
と言いつつも、タイム一覧とかサーキットのスケジュール一覧も軽くなった気がするので、やっぱり何かおかしかったんだと思う。orz
なるほど。。。こんなことがあったんですね。。
確かに最近、重いなぁって思うことがありましたねぇ。
サーバだけじゃなくNASも気をつけたほうがいいかもしれないですね…
NASはルーターの内側に置いて外から見れなくしとけば、
よっぽど大丈夫だと思うけどねー。
公開サーバである以上、リスクは承知の上だったんだけど、
こんな個人サイト誰も狙わねーだろーとか甘えがありましたねぇ。
むしろ個人サイトのが防御が甘いってのが定番なのにね。(;´Д`)=3
それにしても、まぁ、こんな苦労してまで自宅サーバ動かし続けて
何かうれしいのか、モチベーションDown気味ですよ。
特にメールは、サーバ停めてる間、外からのメールが受信できない
(たぶんエラーで返送されちゃう)のでマズいよなーと。