こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

誰かにサーバにあるデータを消される。犯人を突き止めたい

会社で嫌がらせをされています。
CADのデータなのですが、私のデータを勝手に削除する者がいます。CADのデータは、サーバにある共有のディスクに保存するように運用されていますが、何者かが私のデータを削除します。恐らくサーバにリモートでログインして削除していると思います。
事務所では誰もがリモートでCADデータを取り出したりできるようにほとんどの人がパスワードを知っています。
サーバはSunOS 4.0です。
誰が私のデータを削除したか突き止める方法はありませんか。
リモートでログインしたパソコンのホスト名やIPアドレスを知る方法でもかまいません。
宜しくお願いします。

投稿日時 - 2006-10-01 02:48:58

QNo.2443042

困ってます

このQ&Aは役に立ちましたか?

21人が「このQ&Aが役に立った」と投票しています

回答(12)

ANo.12

もうSUnOS4.0が身近にないので記憶で答えますが,

acctonコマンドです.

起動時に自動的にアカウンティングが始まるようにするには,
/etc/rcとか/etc/rc.local の中で
accton
というコマンドがコメントアウトされているとおもいます.
そのコメントを外せばアカウンティングが始まります.

投稿日時 - 2007-06-07 18:17:56

ANo.11

サーバに対するroot権限を持っていて会社の許可をもらっている前提ですが、
No5さんの言うように、rmコマンドを別のコマンドにしてしまうのが
手っ取り早いかなと思います。

やり方としては、rmをリネームして(ex:org_rm等)自作した、rmから
引数をすべてorg_rmへ渡します。
org_rmへ渡す前に、必要な情報をログに吐きます。
というやり方です。

rmコマンドをperlで書けばこんな感じかなぁ?
Solarisが手元にないので、パスには自信がありませんが・・・・・

rmコマンド
#!/usr/bin/perl

$ORG_RM="/bin/org_rm";
$USER=`/usr/bin/who`;
($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime(time);
$year += 1900;
$mon += 1;
$Date="$year/$mon/$mday $hour:$min";
chomp $USER;
foreach(@ARGV){
$COMMAND = $COMMAND . " " . $_;
}
open(OUTPUT,">>/var/log/rm.log");
print OUTPUT "$Date $USER rm $COMMAND\n";
`$ORG_RM $COMMAND`;


ログファイル、作成した、rmコマンドに実行権や書き込み権をつけるのを忘れないようにしてください。
あと、エラーした場合には、パスがばれますけど・・・・・・

投稿日時 - 2007-06-07 02:05:43

ANo.10

後で、嫌な思いをしないように上司の指示を受け犯人探しをした方が宜しいかと思います。
>リモートでログインしたパソコンのホスト名やIPアドレスを知る方法>でもかまいません
簡単な方法としてログインスクリプト(例えば、/etc/profile等)を変更すればIP、ログイン名、ログインした時間などをファイルにおとす事が可能です。

投稿日時 - 2006-10-19 23:15:21

ANo.9

管理者権限は、お持ちでしょうか?
お持ちでなければ、そのサーバーの管理者に相談すれば
ログを見るなり、これから監視するなりの手段を
講じていただけると思います。

投稿日時 - 2006-10-10 00:47:04

最大の問題点はシステム管理者が居ないことです!!

 他の方がアドバイスしているようにログを残して証拠的なリストを作ったとして、そのリストは偽造されたものだと反論されたらどうします? システム管理者が居れば、その職権で偽造されていないと主張すれば、それなりに信頼されるでしょうが・・・一般ユーザーである御質問者様が どのようなリストを作っても万民が認める証拠とは言いがたい気がします。

 まずは会社の上司の方と相談し、会社がシステム管理者と認定した人に、この問題を解決するように職務命令を出すことが解決の一歩ではと思います。

 その後は、psコマンドなどで実行されているコマンドのログを記録するなりして、証拠に基づいて対応すれば解決? と思います。

投稿日時 - 2006-10-03 12:09:08

ANo.7

Sunではないので参考として書きますが、

WindowsServerでは日本語処理にトラブルがあり、
Server上のデータが違うフォルダに飛んだり
自動削除されたりしてました。

こういったバグが原因という事も考えられるので、
その人が犯人だと決め付けるのは早計かもしれません。

>データが消されるタイミングもその人が会社に来ている時で、恐らくその人であると確信しています。

100%上記のタイミングならそうかも知れませんけどね。

投稿日時 - 2006-10-01 19:31:29

ANo.6

出来ればNo.4方が書いたようにプロセスアカウントを取れば何時そのホスト上のどのアカウント(ユーザ)がどのコマンドをいつどの端末で実行したかが分かると思います。

これだけだと根拠にかけるので、ログイン履歴(wtmp)も取られているとどのホスト(PC/マシン)からどの端末でログインして来たかが分かりますので、この情報とプロセスアカウントの情報から、どのホスト(PC/マシン)からアクセスして来たユーザがどのコマンドを実行したかを結びつけられます。

実際にどんなコマンドイメージで実行されたかは、NO.5の方が書かれたようにコマンドにラッパーをかぶせて日時、実行ユーザ、実行コマンドイメージ等をファイルに書き出すようなものを作成すればいいと思います。
私もこういう用途ではないですが、あるコマンドのラッパーを作成し、どのようなコマンドイメージで実行されたかをログに出力するコマンドを作成した事があるので可能だと思います。

投稿日時 - 2006-10-01 18:44:20

お礼

ありがとうございます。
SunOSですが、プロセスアカウントをONにする方法、ログイン履歴をとる方法を具体的に教えていただければありがたいです。

投稿日時 - 2006-10-02 02:51:49

ANo.5

rmコマンドをログを出力しつつ従来のrmの動きを行うようなシェルなどに置き換えてみてはいかがでしょうか?(試したことがないのでちゃんと動くかわかりませんが・・・)

投稿日時 - 2006-10-01 15:42:22

ANo.4

SunOS4.0とはふるいですね。
プロセスアカウント機能をオンにすると、誰がいつどのようなプログラムを動かしたかわかります。
それで、リモートログインしてrmコマンドをたたいているのなら、たたいた人と時刻はわかります。
ただ、rmの対象になったファイルがなにかはわかりませんが。。。

プロセスアカウント機能を使うときは定期的に記録を消すことを忘れないでください。ほうっておくとディスクがあふれます。

投稿日時 - 2006-10-01 13:34:54

ANo.3

>CADのデータなのですが、私のデータを勝手に削除する者がいます。

実は、あなたの操作ミスで消えているのでは?
他人が消している、という証拠を上げてください。

まずは、自分の作成したデータは、USBメモリーなどにバックアップする習慣を
身に付けましょう。

投稿日時 - 2006-10-01 11:32:27

ANo.2

サーバー管理者が居ないというのはどういった運営方法なのでしょうか。
データのバックアップ体制がどうなっているのか把握出来ませんが、バックアップ体制が確立されていないのでしたら、8mmなどの記録メディアを使用するか、ftpソフトでご自身のPCへ転送してDVD-Rに焼く方法をとってください。
嫌がらせ以外にどんなトラブルでデータが壊れるか分かりません、必ずバックアップを取っておかないと、質問者さんご自身の管理能力を問われて何かしらの処分を受けると思います。

それで、肝心なIPアドレスを調べる件は、管理者が居ないのでしたら、何も出来ません。上司を通じて『会社に損害を与える業務妨害で懲戒処分の対象になる。犯人を知っていて報告義務を怠った場合でもほう助の扱いで懲戒処分になる。』という旨を皆に広く伝えるしかないです。

投稿日時 - 2006-10-01 05:40:15

補足

データのバックアップは気がついた人がバックアップする体制で、不定期にバックアップされています。
酷い事に、そのバックアップ先のファイルまで消去しているので、かなりの異常であると思います。
当然、ファイルが消されているのではないかと気がついてから、自身のファイルは作業終了後にバックアップを取るようにしています。
犯人の心当たりはあるのですが、その人は鬱病で頻繁に会社を休んでいます。会社に来てもほとんど仕事をしている感じではありません。
データが消されるタイミングもその人が会社に来ている時で、恐らくその人であると確信しています。
ただ、確たる証拠がないので、今時点では公にしたくありません。公にすると、部内のほとんどの人が、その人が犯人であると疑いをかけることは間違いありません。(以前も別件でこのようなことがあって公にされた時、部内のほとんどの人が、その人が犯人であると疑いをかけました。結局、犯人は判らずじまいで、その人は鬱になった経緯があります。)仮にその人が犯人であると判ったとしても、公にせずに、上司にその後の対応は任せようと思います。(他の人が犯人であっても同様ですが。)
頻繁に消去されるので、犯人だけは誰であるかを確かめたいと思います。
誰がどのPC(IPやMACアドレス、Host名)を所有している等の情報は公開されていますので、ファイルを消去する人を割り出す方法が知りたいです。

投稿日時 - 2006-10-01 12:44:07

ANo.1

素直にサーバ管理者/責任者に相談するのが良いかと思います。

投稿日時 - 2006-10-01 02:52:53

補足

残念がながらサーバの管理者はいませんので・・。

投稿日時 - 2006-10-01 03:13:58

あなたにオススメの質問