2005年05月09日(月) << 前の日記 | 次の日記 >>
これまでの05月09日 編集

■1時刻合わせと危機管理[サーバ管理]次の記事 >> このエントリーをはてなブックマークに追加

某所でログ解析を行わないといけない事態が発生した。
Webページの改竄(未遂)と思われる状況が発生したので、再インストールをする前に、一応、取れるだけのファイルはコピーしたものだと言う。
証拠保全という考え方からすると、せめてディスクイメージ丸ごと取っておいて欲しかったのだけれども、こういうケースではあるだけましなことが多いのだ。
例えば、改竄を発見したとして、最悪のパターンでは再インストールして終わりにしてしまう。同じ攻撃を受けたら、同じ様な被害が出るのは当然。
もう少しましな業者さんだと、「○○のパッチを当てていなかったのが原因」等と、それなりに原因を推定して、再インストールしてパッチを当てる。
この場合も、本当にそのパッチの脆弱性によって侵入されたのかどうかには疑問が残る。
悪いシナリオを考えると、侵入者は既に内部に侵入経路を持っていて、最後の仕上げに改竄をやったのかも知れないし、ある侵入者が作って長年使っていた侵入経路をたまたま見つけて、他の人が改竄をしたのかも知れない。苦労して最初に侵入経路を作った侵入者は秘密裏にその侵入経路を使い続けたかったのだから、改竄の様な表に分かる様な行動は避けていたのだ。
あるいは、単にWebサーバの改竄に成功しただけではなく、これを踏み台にして他のサーバにも侵入をしている可能性がある。極端に言えば、ファイヤウォール内部にある全ての端末を再インストールする必要があるのかも知れないし、例えばメールの情報が盗まれた可能性も、この時点では否定できない。
結局、侵入されないつもりのサーバに侵入されたという事実が厳然としてあるのだから、
  • 侵入の経路および方法
  • 侵入者が得られた可能性のある権限
  • 侵入者が行えた可能性のある操作
を特定しない限りは、どこまで対策をすれば安心という基準は得られないし、被害範囲も想定できないのだ。
そういった訳で、こういった問題が発生した後には、各サーバやネットワーク機器のログを調査して、想定される影響範囲を狭めていく必要がある。まず、ネットワーク構成等から考えられる最悪のシナリオを想定して、少しずつ可能性のある影響範囲を狭めていくのだ。要は、安全だと証明できるものは全て危険だという立場に立つ。
この時に、各サーバやネットワーク機器の時計が合っていないと、なかなか困ったことになる。
通常からNTPで時刻合わせをしていれば確実だし、事故を発見した時にマシンの時刻と本当の時刻のずれが記録してあれば、前後数秒の範囲の精度は確保できる。
残念ながら、今回の場合は、問題のマシンは再インストールされてしまった後なので、正確な時刻のずれが分からなかったし、他のマシンのずれから判断すると、数分はずれて稼働していることが想定された。
結局、各々のマシン間でやり取りしたメールのログ等のイベントと、時刻が信頼できるドメインとの間でやり取りしたメールのログなどを使って、最小二乗法で各サーバのオフセットと経過時間あたりのずれを算出した。
本当は、温度依存性も持つはずなのだけれども、共通に記録されたログを照合してみると、前後2秒の中には収まっていた。
なお、NTPサーバを設定する時には、 福岡大学NTPサーバの混雑解消にご協力を[http://slashdot.jp/articles/05/01/21/0214236.shtml?topic=12] の記事を参照して頂きたい。

■ 関連記事

■2 続・同種生物をペットとすることは倫理的に許されるのか[http://www.nantoka.com/~kei/diary/?200505a&to=200505082#T200505082]<< 前の記事 このエントリーをはてなブックマークに追加

どうも ブログを付けている[http://diary.hellokitty.ne.jp/blog/index.html] 様なので、この件についてコメントしていないか探してみたのだけれど、特に記述は見つからなかった。
astroboy-nj's today[http://astroboy-nj.at.webry.info/200409/article_3.html] によると、この話はトリビアに登場したことがある様で、
キティちゃんは擬人化されていて、人格を持っているのでペットを飼っています
という事らしい。
まぁ、ブログを書く位なので、ペット位飼っても良いのではないかと、この件に関しては思う。そもそもキティちゃんは、既にネコという気がしない位のキャラクタだ。
だけれども、能力や知的レベルが格段に違うからと言って、同種生物をペットにすることはやはり許されない様な気がする。こういうことを考えるのは、スタートレックの観過ぎかも知れない。

猫界における猫権と、人間界における人権はかなり違った概念:

なんじゃないかという指摘を頂きました。 人間の概念を当てはめるのは無理かも知れないし、人間の概念を当てはめようとしている時点で人類と認めているのかも知れない。混乱してきた。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年05月 翌月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

最近の日記

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

2018年12月18日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project