社内の鯖がbot化していた件

月曜日に、会社のプロバイダから連絡が来た。

どうやら、2月24日に会社のIPアドレスからのDDos攻撃されたらしい・・・。

該当のサーバをネットワークから切り離して確認してみると、テスト用として開発業者に渡しているサーバのpostgresユーザを乗っ取られていて、/tmpの中に攻撃用のスクリプトを置いて動かしていたみたい。

ログを追ってみると、2月9日からこのセキュリティ侵害が発生していた模様。

テスト用サーバはDMZエリアに設置していて、通常、SSHの鍵認証のみの許可の設定にしているんだけど、開発業者側のSSHアプリケーションで渡したrsa鍵が読み込めなかったから、このサーバだけパスワード認証にしていた気がする。

でもさ、postgresのパスワードが「postgres」のままで動かしていたって・・・ありえねぇ・・・。

プロバイダ経由で言って来た人と、直接クレームを言ってきた人。

ご迷惑をお掛けしてしまって、本当にスミマセン。