サーバーを乗っ取られた事がある方に質問です。 どんな失敗で何をやらかしましたか? 本人でなくても良いです。 VPS上のLinuxを乗っ取られました。 postgresqlの環境をセットアップしたくて、レンタルVPSの無料期間を利用し試しに構築してみました。 すると、僅か数時間で乗っ取られ、サーバーの管理者から連絡があり、サーバーを止められました。 VPSのOSはLinuxでした。 VPS上のpostgresqlをインストールして、DBやテーブルを作り、pgadmin3でPCから弄ったり、 ダンプを取ったり、取ったダンプをリストアしたり、 firewallを起動させて使えなくしたり、 firewallにpostgresqlの通信を許可したり、 環境構築を一通りやってそのまま放置したところ、翌日には乗っ取られていてサーバーを止められました。 原因は、postgresqlをインストールすると生成されるlinuxユーザー(postgres)のパスワードが脆弱だった事です。 いろんな操作を試したかっただけなので、パスワードはテキトーでした。 postgresとか、passwordとかそういう類のパスワードでした。 容易に推測され、 sshでログインされ、 postgresでパイソンで作ったマルウェアをインストールされ、 cronにマルウェアを起動するスケジュールを組まれていました。 サーバーの管理者から複数の入られていると教えられました、 lastコマンドでログイン履歴を見てみると、知らない複数のグローバルIPからログインされていました。 linuxユーザーのpostgres、ロールのpostgresともに複雑なパスワードにしなければ速攻でやられる事は分かりました。 そういった、ちょっとした不注意や安易な気持ちで乗っ取られた経験やあるあるパターンと対処法を教えて下さい。 なお、ただのディスは受け付けておりません。 よろしくお願いします。
↧