最初に書いておきますが、全て本当の話です。といっても、実は良くある話なのかも知れませんが、少くとも私にとっては衝撃的な話だったもので…。

仕事(バイト)の関係で、ある会社のデータ管理状況の見直しをすることになりました。この会社では3000件ほどのデータをエクセルで管理している、不思議な会社なのですが、これを見直すために呼ばれたわけです。

会社の端に古いパソコンがおいてあり、話によると会社のWebサイトの為のサーバ機とのことです。ちなみにOSは赤帽でした。そのサーバでデータベースを動かしたいと言われたのですが、内心「外からのアクセスがほとんど必要の無いデータを、公開サーバで管理するのは嫌だな」と思ったので、相手にそのことを話しました。それに対して、「Webサーバしか動いてないから、そのバージョンだけ気をつければ大丈夫でしょ」と言われたのと、予算が無い、そしてデータ自体はそれほどの機密性が求められないデータだったので、その赤帽でMySQLを動かすことにしました。

とりあえず、OSの状況(動いているプログラムや設定等)を見せてもらおうと思い、しばらく赤帽の中をうろうろしていました。Apacheも確かに動いている、ファイアウォールも、まぁ大丈夫。なんとなく、nmapをインストール(もちろん許可をもらいました)してローカルスキャン、……????。

FTP・SSH・telnet・sendmail…。いっぱい動いてるなぁ。相手に聞いたところ「え!? 全部止めたよ」とのこと。なんてことはない、プロセスをKILLして止めたつもりだったらしい(そして再起動したらすべて復活)。

不安になり、各種ログを物色したところ次のようなログを大量に発見。

(適当に短縮)
sshd[1822]: Failed password for "あるユーザ名" from グローバルIP port 50856 ssh2
sshd[4139]: Did not receive identification string from グローバルIP

特に"ある日"までの数日間、上記１つ目のログが多発。そして、"ある日"を境にゼロになる。その"ある日"の後になると"あるユーザ名"が定期的にSSHにログインするようになる。しかも、先ほどの会話から『会社側はApacheしか動いていないと思っている』ことが分かる。

ダレダ!?

会社側に"招かれざる客"について説明して、クリーンインストール。そして、サーバの設定は私たちがやるから触らないよう説明。ちなみに"招かれざる客"は本当に何もしてなかったようです(ざっと見た限りですが…)。ファイアウォールのログから踏み台にもされていなかったようですし、改竄、消去、も無くメール等はそのサーバに無いので盗聴も無かったはず。そのサーバから会社のLANに入るのも普通に考えて無理そうなので、恐らく愉快犯かと…。

それはそれはとても感謝され、帰りにおいしいウナギをご馳走になっちゃいました。

ありがとう、クラッカー!(っておい!)

っていうか手動ブルートフォースで当っちゃうパスワードはとっても嫌。