Chienomi

セキュリティインシデントの顛末

security

先日、Mageiaで生じたトッププロセスからのfork bombだが、そのあとシステムを再構築したあとAgrusのログを参照して漏洩確認をするなどかなり大変な作業だった。

しかし、システムを構築した段階で再びnepomukの名が復活してきた。ケーブルを抜いて他のPCで調べてみると、どうもKDEのコアが利用しているらしいのだ。nepomukを持っているのはnepomuk, nepomuk-coreだが、kde-coreにも含まれている。KDE PIM、特にKmailがこれを必要とする。

nepomukを邪魔者と考える人もいて、停止するというやり方もあるようだが、私はとりあえずnepomukとnepomuk-coreをアンインストールして対処した。害がないとしてもこんなにトップを走りつづけるようなプロセスは困る。もっとも、このトップを走り続けることはbugらしいのだが。

さらに、fork bombは別件で、kblankscrn.kssというプロセスが大量にforkされる。これはどうやらブランクスクリーンのスクリーンセイバーに起因するらしく、これで検索すると非常に多くのbug報告があがる。

結局ふたつのbugが重なって勘違いした。システムがすぐに必要で調査のために停止させられなかったためシステムを再構築という方法をとったが、結果としてそれは失敗だった。調査を先にしていれば早く問題ないと分かり、復旧できただろう。

随分と苦労したのだが、顛末はこんなもの。漏洩がなくよかったのだが、なきたくもある。