おかげで、こちらは困っていますが、何が原因かわかりますか?詳しい条件は以下のとおりです。
@FreeBSD 6.0-p2
@Apache2.x(ただし最新版ではない)でWeb鯖、80番ポートをルータにて開放。
@ProFTPDでftp鯖、20番ポートをルータにて開放。
@OpenSSHにてリモートコントロールしているがSSHはルータでブロックしている。
@家族など身近で荒らしを行えるような可能性はありません。ないものとしてお考えください。
@ただし、1人に鯖空間を貸与。Not suEXEC。
もし、最後の条件以外が原因となればそれの対策をしておきたいです。ありえる要素とその手段、対策方法を探すか教えてください。お願いします。
No.1
3431
50
27pt
最後の条件が一番問題ですが、
その他にもApacheは設定次第でproxyサーバーとしても使えます。
どっちにしろ、system.logやApacheのログ
通常は
/var/log/system*
/var/log/httpd/*
を一度見てみて、掲示板荒らしの時刻に誰が利用しているかを
まず確かめるべきでしょう。ただのproxy利用であれば、
ログまでは消せないと思います。
ログが消されていれば、問題の利用者か他からのクラッキングが
疑われます。
No.2
1153
27pt
確認→http://www.speedguide.net/portscan.php
とりあえず、こんなところでしょうか。掲示板荒しならば、ボットに感染してるということも考えられますね。
他の人の迷惑になることを考えると、対策が完了するまではネットワークから隔離することをお薦めします。対策が出来ないようであれば、そのスキルが身につくまで、レンタルサーバ等を利用されることをお薦めします。
とりあえず最低限のこととして、ルータからは各種ポートの穴を消し、サーバーは電源を落としています。
情報が集まり次第、対策を練ろうと思っています。
No.3
355
26pt
ユーザーのCGIがHTTPプロクシの踏み台になっている可能性もあるかも?
でも念のためにdaemonの類いが仕込まれているのか、調べたほうが良いと思います。
なるほど。いろいろありますが、manを参考にしながらぼちぼち調べてみます。
進展があるかもしれないので、質問は終了せずに、このまま残しておきます。
65
60
1
2
あ、いい忘れましたが・・(かなり重要だった。)
Proxyとつくモジュールはコメントアウトして読み込まないようにしていますが、それでも無意味でしょうか。
荒らしの時刻にipfw(FreeBSDのカーネルレベルのFW)のログを調べると確かにアクセスした形跡がありますが、どのように忍び込んだかがさっぱりです。
また、サーバーから相手にアクセスするとき、こちらのポート番号は6万台でした。(他にもあるかもしれませんが。)