月曜日に、会社のプロバイダから連絡が来た。
どうやら、2月24日に会社のIPアドレスからのDDos攻撃されたらしい・・・。
該当のサーバをネットワークから切り離して確認してみると、テスト用として開発業者に渡しているサーバのpostgresユーザを乗っ取られていて、/tmpの中に攻撃用のスクリプトを置いて動かしていたみたい。
ログを追ってみると、2月9日からこのセキュリティ侵害が発生していた模様。
テスト用サーバはDMZエリアに設置していて、通常、SSHの鍵認証のみの許可の設定にしているんだけど、開発業者側のSSHアプリケーションで渡したrsa鍵が読み込めなかったから、このサーバだけパスワード認証にしていた気がする。
でもさ、postgresのパスワードが「postgres」のままで動かしていたって・・・ありえねぇ・・・。
プロバイダ経由で言って来た人と、直接クレームを言ってきた人。
ご迷惑をお掛けしてしまって、本当にスミマセン。