なんとかsmptserver,popserverを構築して、amavisや、tripwire、bitdefenderなど、インストールして、1週間ほど、様子を見ていましたが、smtphunter11@daum.netなどという侵入の形跡がみられました。tripwireのreportを見ると、/root/.Xauthoryが、書き換えられてる感じがしました。こんなのは初めてなので、まだ、tripwireや、amavisの解析はについて、なにがなんだかよく解っていませんが、確かに、侵入されて、書き換えられていそうです。amavisのreportには、数字の羅列に、@が入り、その後に、hostnameが入った、メールアドレスの後に、Hits:-2.82,1155 ms: 1 Time(s)などと記載されています。たぶん、ウイルスメールをヒットしたのでしょう。完全に、サーバーを乗っ取られているのでしょうか?もしそうだとしたら、対策は、ハードディスクをフォーマットし直して、ドメインの変更をして、もう一度、サーバをくみなおさなければいけないのでしょうか?それとも、もう一台のLinuxサーバーの/root/.Xauthorityを上書きすればよいのでしょうか?もう、ドメインがばれてるので、ドメインの変更も必要かもしれません。もし、よろしければ、対処法と、今後のセキュリチィーの対策を教えてください。よろしくお願い申し上げます。
非常に見にくいので改行しました。
> なんとかsmptserver,popserverを構築して、amavisや、tripwire、bitdefenderなど、インストールして、1週間ほど、様子を見ていましたが、smtphunter11@daum.netなどという侵入の形跡がみられました。
何を持って新入と判断したのですか? 単にrejectされているだけではないですか?
このメアドは時々現れるやつで、チャントsmtpが設定されていればはじかれるだけ。
第三者中継のテストをしましたか?それがOKならはじかれているはず。ログの見方を勉強しないと駄目では?
>tripwireのreportを見ると、/root/.Xauthoryが、書き換えられてる感じがしました。こんなのは初めてなので、まだ、tripwireや、amavisの解析はについて、なにがなんだかよく解っていませんが、確かに、侵入されて、書き換えられていそうです。
/root/.Xauthoryは自分がrootでログインすれば書きかえられます。
# last
でrootでログインした時間がわかるので、自分かどうか調べたらどうですか?
自分がログインしただけと思います。
>amavisのreportには、数字の羅列に、@が入り、その後に、hostnameが
入った、メールアドレスの後に、Hits:-2.82,1155 ms: 1 Time(s)などと記載されています。たぶん、ウイルスメールをヒットしたのでしょう。
ウイルスなどは腐るほどきます。最大で700件弱/日きたこともあり、alertメールが止まらなくなりました。
>完全に、サーバーを乗っ取られているのでしょうか?もしそうだとしたら、対策は、ハードディスクをフォーマットし直して、ドメインの変更をして、もう一度、サーバをくみなおさなければいけないのでしょうか?それとも、もう一台のLinuxサーバーの/root/.Xauthorityを上書きすればよいのでしょうか?もう、ドメインがばれてるので、ドメインの変更も必要かもしれません。もし、よろしければ、対処法と、今後のセキュリチィーの対策を教えてください。よろしくお願い申し上げます。
問題かどうかが判断できていないだけではないですか? ログをしっかり読めないなら何をしても良し悪しの判断ができないので、永遠に悩み続けるだけ・・・。
設定ミスさえしなければ、そう簡単に入られることはないですが・・・。
もしハックされたのなら、すぐにネットワークから切り離しHDDのフォーマットをして、入れなおしですね。但し、入られた原因が判断できない以上、何回やっても入られるでしょう。ドメイン変えても無駄でしょうから、じっくり時間をかけて何が問題だったかわかるまではネットワークにつながないことです。
postfix beginの項目に
8 messages sent
8 messages removed from queue
Top ten senders:
4 messages sent by:
root:
多分、8通のメッセージを送ろうとして、
8通のメッセージ削除?
rootから、4メッセージが送られています。
との意味でしょう。
rootからのメッセージはamavisと、tripwireからのlogメッセージなので、問題ないかもしれません。
もし、ハックされていたなら、メーラーの送信済フォルダーにもいろいろ履歴が残るのでしょうか?bitdefennderでは、感染ファイルが見あたらなかったし、第三者中継テスト、listコマンドによる確認、その他、messegilogなど、落ち着いて、確認してみます。お騒がせしてしまい、申し訳ありませんでした。