• 改ざんチェック(目視)にて発見
• セキュリティホールを利用し侵入された模様
• ログの削除が行われていた下記にて対処
• rootパスワードの変更、一般ユーザ削除
• Webサーバソフトウェアの変更
• 不用なサービス、I/Oポートの閉鎖

• 侵入
• Web改ざん
• ログ削除

• セキュリティホールを持つサーバソフトウェアを使用しない。
• Webサーバ上の情報は、たとえ直接のリンクが張られていなくても外部から閲覧される可能性があることを鑑み、重要情報を同じサーバに置かない。

• 外部からの連絡により判明
• プロキシサーバを外部から利用された。
• NNTP(ネットニュース)のspam記事、キャンセル記事の送付に使われた模様
• プロキシの設定がデフォルト値(出荷時の設定)になっていたため、外部からの利用が可能であったもの。
• サービスを停止し、設定変更を実施して対処した

• spamニュース中継に利用された

• プロキシを外部から利用できる状態にしない

•  ネットワークが過負荷の状態であったためログ等を調査して判明
• 特定アドレスからのものであったためルータにより制限を実施
• アクセス元に連絡してパケットを停止

• ネットワークのサービス低下

• セキュリティホールや設定不備によりパケットなどを増大させてしまうことがあるので、そのようなバージョン・設定で使わない。
• 本来のサービスに非常に多くのリクエストが来た場合の想定をしておく。

• IPアドレスを詐称した不正アクセスを行われた。

• マシンへの被害はなし

• 実際にマシンに侵入されているわけではなく、巧妙にパケットを偽造する詐称自体を防ぐことは難しい。
• 自分のサイトからの不正なアクセスではないことを証明するためにマシンの稼動状況等はログを含め常に把握しておくことが重要

• メールサーバのログチェックにて判明
• 特権IDが追加されていたため侵入があったと推測されるがメール中継との関係は不明
• サーバの処理低下、動作不安定が発生した
• 設定を強化して対処

• 実際に中継に使われた
• IDが追加された
• メール配信が不安定となった(複数のToやCCの宛先に届かないといった状況が発生)

• メール中継に関してはメールサーバソフトウェアにより対応は異なるが、sendmailの場合であれば、最新版へのバージョンアップと設定(sendmail.cf等)により対処する
• sendmailバージョンアップに関しては以下を参照

http://www.jpcert.or.jp/tech/98-0001/

• ファイアウォールやメールのチェックツール等との関係でsendmail.cfの設定のみではうまく行かない場合もある
• 使用ツールによっては、別途プラグイン等が必要な場合がある

• WindowsNTで動作するEMWAC IMSの場合には、プログラム本体だけでは中継を防ぐことができないため、フィルタとプラグインを導入する。
• 関連情報及びソフトウェアは下記から入手可能http://www.sica.com/

• 運用の都合上外部→外部のメールを一律に禁止にはできない場合がある。その場合には、個別のアドレスやドメインからのメールを制御する必要がある。運用・管理の工数や、マシンへの負荷の度合いとのバランスを見て設定を決定すべきである。

• メール中継可能なサイトのリスト(DB)を公開しているWebページが存在する。中にはアンダーグラウンド情報のものもあるが、いわゆるspam除けのための機能を提供しているページもある。
• 下記はその例である

ORBS  http://www.orbs.org/ 
MAPS/RSS　http://www.mail-abuse.org/rss/

• 外部のシステム管理者からの連絡にて判明
• 経路等は不明(調査中)
• サーバの再構築、sendmailのバージョンアップ・再設定を実施

• 実際に中継に使われた
• スキャニングの形跡もあるが直接そちらの被害はなし

• 大量のエラーメールにより判明
• 中継制御用のフィルタを導入して対処

• 実際に中継に使われた

• 大量のメールが届き内容
• ログを調査して判明
• 抗議のメールも届いている

• 実際に中継に使われた
• 抗議のメールも届いている

• メールが送信できなくなったため調査して判明
• 設定を変更して対処
• サーバソフトウェアの入れ替えを含め今後検討

• 実際に中継に使われた
• サービス低下

• 大量のエラーメールが届き調査して判明。
• 中継を制御するフィルタを導入して対処

• 実際に中継に使われた
• リターンメール(エラーメール)
• サービス低下