極楽せきゅあブログ

ときどきセキュリティ

迅速な復旧

http://vsug.jp/tabid/63/forumid/70/postid/6226/view/topic/Default.aspx
検知したのがいつなのかわからないけど、3時間で復旧ですか。すごい迅速っぷりだけど、ぶっちゃけ不安だなあ(笑)。
ってゆかログを見ると17時にヤラレてました、というところの「ログ」が、侵入されたサーバーとは別な場所に置いてあったログだとしたら、まあそれは信用できると思います。もちろん、その別な場所も安全という保証はありませんが、気が付いてからの時間が短いってことが大きいかな。書き換えするような方々の行動パターン的にも、「ログが保存してある別な場所」に斟酌するとは思えないしね。ってか、実際に説明責任を負う側は、あちきのように「まー書き換えとかする人たちは普通こうだから〜」なんていう説明じゃ、説得力が無さ過ぎだろうけどね(笑)。
あと、DBアクセスの記録は一切無かった、としてますが、これもその記録がどこにあったものなのかがポイントじゃないですかねえ。もし、ヤラレたところと近しい場所にあった記録なら汚染を疑うべきだろうし、汚染されてないって論証すべきじゃないのかなあ。
さらに、見るところ復旧はモジュールを入れ替えただけみたいだけど、何が入っているかわからない状態でそういう対処でいいのかなあ?とか思いますね。たぶん、同じ構成のクリーンボックスをいちからインストールして作成し、侵入経路となったと推測される穴を埋めて、そこにデータをテキスト出力するなりして無害化して移行して、それで復旧とするほうが安心なんじゃないのかナー?汚染が無いってことをファイルインテグリティチェックとかでチェックしての話なら別だけど、そうでないのならどこに何が入っているのかわからないままだったりするんじゃないのかなあ?