2016/06/30

chkrootkitからの誤報>>Back_doorが仕込まれた?

(OSいじりちうの備忘録です<文脈・誤字不問です~ ^^)
Ubuntu-Sever 16.04 LTSをインストールしたBxbt-2807で、chkrootkitを実行した結果、下記の1行をみつけました。

「Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd」
「Eburyっていう(ssh関連の)Rootkitがしこまれたよ」?


ぐぐってみると、「chkrootkitのバグ・誤報」って情報が溢れています。
でも、なぜか英語の情報ばっかりだわ。。。。。><

気になるので、ステップを追ってUbuntu-Sever 16.04 LTSをクリーンインストールし直してみます。
(↑ OSいじり遊びの理由ができた~~ ^^)


1)正規urlからダウンロードしたimgファイルで、CDを使用して最小構成をインストール
    Openssh-server、Standard systemもインストール対象からはずしておきます。

2)sudo apt-get update, sudo apt-get upgrade で、OSをUpdateしておきます。
    kept-backが出ているので、sudo apt-get dist-upgrade

3)rootのパスワードを変更しておきます。
   sudo passwd root

4)ufw をインストールして、すべてのポートを閉じておきます。(自宅サーバーなので)
   sudo ufw disable
   sudo ufw default DENY
   sudo ufw enable

5)chkrootkitをインストールし、実行
   sudo apt-get install chkrootkit
   sudo chkrootkit

お~~、もうこの段階で以下の警報がでています。
「Searching for Linux/Ebury - Operation Windigo ssh... Possible Linux/Ebury - Operation Windigo installetd」

変な所へは接続していませんし、ポートも閉じていますので、5分ほどの間にrootkitが仕込まれたとは考えにくいですよね。
やっぱりchkrootkitのバグですね~。

どうも、 chkrootkitのサポートは休止しているみたいで、改善されないみたいです。

6)nano, openssh-serverをインスト
   sudo apt-get install openssh-server
   sudo apt-get install nano
   sudo nano /etc/ssh/sshd_config で、使用ポート22を「xxxxx」にし、
   PermitRootLogin no に変更
   
   ufwで、変更したポートをLan内の特定機からのみに開いておきます。
     sudo ufw allow from 192.168.**.** to any port xxxxx

7)chkrootkitの代わりに、rkhunterをインストールします。
   sudo apt-get install rkhunter
   使用方法
         sudo rkhunter --update 更新
    sudo rkhunter --propupd  File-properties-data更新、OSupdate/upgrade時に必要
    sudo rkhunter -c     チェック実行

   scanしてみましたが、rkhunterは「異常なし」でオールグリーンです^^)
   No warnings were found while checking the system.

8)あと、以下のものを順次インストールしていきます。
   lsof, aptitude, bash-completion, lm-sensors, screen, dnsutils, mono-complete,
   exim4, logwatch
    
9)rkhunterで、File-properties-data更新後に再チェック
        sudo rkhunter --propupd  File-properties-data更新
        sudo rkhunter -c     チェック実行
  
10)Opensimを入れて、運転開始





ここで、rkhunterのscan経過をSSで追ってみます。

まず、File-propertiesのチェック結果画面
OSのupgradeや新規パッケージのインストロール後にrkhunterを作動させると、ここに警報が出る場合があります。
「sudo rkhunter --propupd  File-properties-data更新」の実行が必要になります。


次は心臓部のrootkit検査中の画面


NetworkやLocal-hostの設定状態もチェックしてくれています。


最後は総合結果の表示です。




OpenSim立ち上げ後にscanしてみると警報がでました。

「sudo nano /var/log/rkhunter.log」でログファイルを調べてみると、
Performing filesystem checks
[07:33:58] Warning: Suspicious file types found in /dev:
[07:33:58] /dev/shm/mono.15209: data

ファイル形式がちと変わっていますが、Opensimでmonoが実行中にramdisk領域(tmpfs)に作成される一時ファイルです。15209の部分がいろいろ変化します。
OpenSimを停止させると、このファイルは無くなりますね。

安全だろうと勝手に思い込んで、rkhunter設定ファイルを編集

$ sudo nano /etc/rkhunter.confに以下を追記して安全定義しました。。。^^)
ALLOWDEVFILE=/dev/shm/mono.*

さて、大丈夫かな~?<< もう少し遊べそう・・・・

2016/06/29

Ubuntu-Sever 16.04 LTSをインストールしてみました

まだBxbt-2807のOS換装で遊んでいます^^)

前回インストしたDebian8.*なら、LTSになるはずですが、どうもはっきりしません。

そこで、サポート期限がはっきりしている「Ubuntu-Sever 16.04 LTS」に換装しました。
これなら、2021年4月までサポートがあります。← マイクロソフトより親切だぁ!

Downloadしたimgファイルは670MBで、CD1枚に焼けるサイズです。
Bxbt-2807のbiosはdefaultからboot優先順位を変更しただけでOKでした。

インストール途中での各種サーバーパッケージ選択は、すべて非選択にしました。
先にufwを入れてFire-wallを設定してからの方が安心できると思ったからです。

あとから、以下のパッケージをapt-getでインストしています。
nano, ufw, openssh-server, lsof, aptitude, bash-completion, chkrootkit, lm_sensors, screen, dnsutils, mono-complete, exim4, logwatch

SSはリモート接続したときの立ち上がり画面ですが、Debianよりも良さそう。



まずupdate要・不要が接続時に判りますね~^^)
それとdhclientで接続しているポートが少なくなっています。

メモリー使用量は大差ありません。
ヘッドレス化もOKでした。

特筆すべきは、monoのVersionが大分あがっていて、4.2.1になっていました。

まあ、Opensimのサーバーにはどれも影響しませんが、正常に稼働しています。。^^)
(成功したときの感動が、だんだん少なくなっていきます・・・・><)

2016/06/26

Debian8.5.0で、Bxbt-2807をヘッドレス化

モニターをはずすと立ち上がらなかったのですが、以下の記事を参考にして解決できました。
「Headless Ubuntu Server 15.10 on Gigabyte GB-BXBT-2807」
http://michael-peeters.blogspot.jp/2016/02/headless-ubuntu-server-1510-on-gigabyte.html

まず、/etc/default/grubをnanoで開きます。
sudo nano /etc/default/grub

次に以下の1行目を編集、2行目をアンコメント化します。

①GRUB_CMDLINE_LINUX_DEFAULT=""
...
②GRUB_TERMINAL=console


/etc/default/grubを保存後、grubをupdateします。
sudo update-grub2

これでrebootすればヘッドレス化はOKです。

おし、「Bxbt-2807 + Debian最小構成」の満足度99%~~ ^^)

2016/06/25

Debian8で、最小構成に再挑戦

新規購入のBxbt-2807機+Debian8で、コマンドによる電源OFFができなかったために、Desktop環境に妥協して問題を回避していましたが、再挑戦することにしました。

Bios設定は、Boot選択を変えた以外はデフォルトのままです。
(デフォでのOS選択はWindows8になっています)

「Desktop環境」や「Standard system」などすべて非選択でクリーンインストすると、「shutdown -h mow、poweroff、reboot」の各コマンドも完璧に作動しました。

あと以下のPackageを追加しました。
sudo, ufw, openssh-server, lsof, aptitude, bash-completion, chkrootkit, lm_sensors, screen, mono-complete

メモリー使用量は約75MBで、Lanへの接続ポートもsshdとdhclientだけです。
これなら、管理し易いわぁ~ ^^)


これでOpenSimを稼働させるとメモリー使用量は350MB付近ですが、時間が経過すると450MB付近で落ち着きますね。 LXDEのDesktop環境より約100MBほど少なくなりました。


前回の最小構成で失敗した時との差は、「BiosのOS選択」だけみたい。。。。><

----------------------------------------------------------------------
(追記2016.6.28)
exim4と logwatchのパッケージを追加しました。>不正アクセスの見張り役です ^^)
SSでの接続ポートにはexim4も表れますが、SSは元のままです。


2016/06/24

トレンドマイクロのWeb安全性調査か?、成りすまし接続か?

このSSは、JOGへ接続しているOpenSimサーバー(Raspberry_pi_2)のポートで、トレンドマイクロからの接続をファイアウォールがブロックした異常記録です。


ポートは開いていますので、なぜブロックしたのかは解りません><

先日までは頻度が少なくて気にしていなかったのですが、10回/日にもなると気になります。

Google先生に「トレンドマイクロ、Web調査」で聞いてみると、積極的に調査しているとのこと。
これは、顧客が訪問したWEBが怪しいところなら警報を出すためらしいです。

ブロックしているので、トレンドマイクロからはどう思われているのかも気になります。

いろいろ調べてるうちに、顧客ではなくても調査できる以下のトレンドマイクロのページが見つかりました。
https://global.sitesafety.trendmicro.com/?cc=jp
「トレンドマイクロによるWebサイトの安全性の評価」

実際にOpensimで運用しているURLを入れてみますと、「安全」と評価されました。


でも、ブロックした異常接続が「成りすまし」の可能性もありますので、しばらくは挙動を注視しておこうと思います。

2016/06/23

Debian8最小構成での電源問題

BXBT-2807で、「shutdown -h nowでも電源が完全に切断できない問題」が残っていましたが、解決できました。

Debian8をインストールするとき、最小構成になるようにしたためで、電源関連の一部のパッケージかスクリプト・設定が入らなかったのかも?と思ったからです。

Biosの設定はデフォルトに戻し、「Desktop環境」と「Standard system」を含めてクリーンインストすると、「shutdown -h mow、poweroff、reboot」の各コマンドも完璧に作動しました。


DesktopはGNOMEより軽いと言われているLXDEを使用しています。

リモート端末からscreenを使ってバックグラウンドでもOpensimを起動させれますので、この状態でヘッドレス化も可能です。

でも、キーボードとモニターは切り替えSWで別機と共用できますので、あえてヘッドレス化も不要かな。

BXBT-2807本体よりも高価なWindows10を購入しなくてもOKになりました ^^)

SSはOpensimで9個のSimを稼働させている状態です。(起動後1時間経過)
メモリー:      8GBのうち、519MB使用
CPU稼働率:1~5%近辺
CPU温度:    56℃

2016/06/22

BXBT-2807にDebianをインストールしてみました

昨日届いたGB-BXBT-2807開梱・セットしてDebianをインストールした時の備忘録です。

省電力狙いなのでWifiははずしたままにしておきます。
8GBのメモリーと、500GBのHDDを使用します。

(HDDかSSDかとまよったのですが、どちらも消費電力は1W程度なので、安いほうを選択^^)

Debian_8.5.0-amd64-netinst.isoをCDに焼いて、USB_DVDドライバーを使用します。

本体電源ONの直後に「Delete」キーを数回押して、まずBiosの確認をしておきます。
versionは「F8」で、現行の最新版でした ←ラッキー ^^)

「CPUのTurbo Mode」と「Onboard Audio」をDisableに設定変更しました。
「OSの選択」は、Windows7とWindows8の選択肢だけで、Linuxはありません。
そこでしかたなく、Windows7を選択しました。

DVDドライバをBoot指定して、Debianインストを始めましたが、途中で以下の警告が出ました。
「Missing Firmware:  rtl_nic/rtl8168g-2.fw が不足」

Lan関連なので、これがないと先へ進めません・・・・・ ><

Google先生に聞いて、以下のurlから上記が含まれているfirmware-realtek_0.43_all.debをダウンロードし、usbメモリーへそのまま焼いて本体へ差し込んでやると、
必要なものが自動的に読み込まれて、中断していたインストが再開されます。
https://packages.debian.org/ja/jessie/firmware-realtek
「パッケージ: firmware-realtek (0.43) [non-free] 」

わざわざ別パッケージを再取得させるところが、「お堅いDebian」さんかな~ ^^)

Opensimのサーバー用に使用する予定ですので、デスクトップなどもインストしません、

無事にインストールが完了したあとは、いつも通りssh_server、ufw、mono-completeなどを入れてリモート端末から、Opensimを立ち上げることができました。


この状態でCPU温度を調べてみますと55~56℃です。
CPU負荷率は4~5%程度なので、消費電力も本体全体で5W以内だと思います。

ケース底面に自然対流での空気吸い込み穴を追加してやれば、もう少し温度は下がると思いますが。。。。


なお、現状での不満は、「shutdown -h now」でOSやHDDは停止するのですが、電源が完全に切断されずに、USB電源は生きたままになっています。
改めて電源SWを「長押し」する必要がでてきます。

同じ原因だとおもいますが「reboot」命令も使えませんね・・・・><

上記2欠点のため、満足度は95%程度かな~~ ^^)

2016/06/20

いまさら2年前のPCを買う??

本格的な暑さ到来までに、あと1か月以上もありますが、耐熱連続試験中?のXS35機が壊れる前に次の予備機を発注してしまいました^^)

対象機は、GIGABYTE GB-BXBT-2807で、CPUは Celeron N2807。

昨年から実売されはじめたN3000や3150とは違って、Debianが素直にインストールできそうな感じのものです。


TDPが4.3w、通常使用時のSDPは2.5wで省エネタイプのファンレス。
2コア2スレッドの2.16MHzバーストで非力ですが、サーバー用なのでいいかな?

税込み14,689円(ドスパラ)だったのも魅力です。
メモリー8GBを一緒に買っても、2万円でおつりが来ます。

届けば、しばらくはOS入れ替え遊びができそう。。。。。^^)

2016/06/16

Stand-aloneでHypergridなOpensimサーバー2

しばらく使っていなかったStand-aloneでHypergridなOpensimサーバーをopensim-0.8.2.1にversion-upしました。



パソコンはサブ機として使用していたXS35で、OSはLinux-Beanです。
今回もShinobarさんの、以下の解説を参考にさせていただきました。

「スタンドアロンだけどハイパーグリッド ver.0.8.1」
http://sakurapup.browserloadofcoolness.com/viewtopic.php?f=23&t=2711&p=21148#p21148

XS35機はファンレスで消費電力20W弱ですが、今回はハードディスクをセットしていますので、夏場の高温に耐えるかどうかが心配です。

壊れたら、新しいのでもっと消費電力の少ない製品が出ているので、買い替えるかな?

OSgridとJOGのときの持ち物をiarで復活させると、約7000アイテムで1.3GBほどあります。
これではRaspberry_Pi2でのRamdisk運用は無理ですね。。。。。

Hypergridアドレスは、kimikodover.ddns.net:9000 です ^^)