[plamo:14079] クラッカーに妙なことされた(^^;

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:14079] クラッカーに妙なことされた(^^;

From:Que

Date:Mon, 27 May 2002 00:06:39 +0900 (JST)

Subject: [plamo:14079] クラッカーに妙なことされた(^^;
From: Que <que@xxxxxxxxxxxxxxx>
Date: Mon, 27 May 2002 00:05:41 +0900

自宅のホスト（Plamo-2.1ベース）をクラックされました。
っていうか、Back-doorしかけられたらしいです。

ホストIPは、203.198.211.43。

下記のようなログが残っていました（ホスト名は変えてあります）

/var/log/messages
May 24 19:20:34 hoge sshd[21013]: Disconnecting: Your ssh version is 
too old andis no longer supported.  Please install a newer version.
May 24 19:21:45 hoge sshd[21014]: Connection closed by 203.198.211.43
May 24 19:21:45 hoge sshd[21012]: Did not receive ident string from 
203.198.211.43.
May 24 19:22:00 hoge sshd[21018]: Disconnecting: Corrupted check 
bytes on input.
（これが数行）
May 24 19:33:04 hoge sshd[21188]: Disconnecting: crc32 compensation 
attack: network attack detected
（これが数行）

で、/usr/lib/asd なるプログラムがこの時刻に生まれて、その後このホスト
から
To: rechinu@xzibit.ws
Subject: ReWt
でメールが発信されました。

＃うちのホストはメールの送受信を自分でSniffingしています(^^;

そのメールの内容ですが、下記のとおり。

Linux hoge 2.2.20 #4 Tue Feb 19 22:10:40 JST 2002 i586 unknown
/rechinu
uid=0(root) gid=0(root)
processor       : 0
vendor_id       : GenuineIntel

以下memおよびdf -T、uptime、w出力が続く

  PID TTY      STAT   TIME COMMAND
    2 ?        SW     0:01 [kflushd]
    3 ?        SW     0:08 [kupdate]
    4 ?        SW     0:32 [kswapd]
    5 ?        SW     0:00 [keventd]

以下ps出力が続くが、

21407 ?        S      0:01 /usr/lib/asd

などという見慣れないものが・・・(^^;　その後、

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         
State

以下netstat出力が続く。ここに、

tcp        0      0 192.168.10.2:22         203.198.211.43:45439    
ESTABLISHED

が現れる。続いて、パスワードファイルが・・・

This is the passwd file
...

更に/etc/shadowが・・・(;_;)
root:...

という具合に見事にホスト情報持って行かれました(>_<)
で、お伺いしたい「妙なこと」なんですが、この人、/etc/rc.d/rc.localを
いじって、/usr/lib/asdを起動するようにしたうえ、このファイルを消せな
くしてくれました。
-rwxr-xr-x   1 root     root         1833  5月 24日  19:40 /etc/rc.d/
rc.local
一見普通なんですが、rm /etc/rc.d/rc.local とやっても消えません。
同様に、/etc/rc.d/rc.sysinitなんてファイルも作ってくれまして、こちら
も消せません。
remove write-protected file
と言われます。

どうやら、chattr なんていうコマンドがあるんですね。知りませんでした。
こいつで
# chattr -i /etc/rc.d/rc.sysinit
とやったら、ファイルが消せました。

で、そもそももって行かれた原因ですが、別段使っても居なかったOpenSSH
を古いままほうっておいたのが根本的にまずかったのかなぁと。
他にも思い当たる節はあるんですが・・・php-4.0.6+apache-1.3.20とか。

みなさまもお気をつけくださいませm(_ _)m
お粗末様でした。

＃なおこのasdっての、chkrootkitには引っかかりませんでした。
＃新手のback-doorでしょうか？
--
Que <que@v004.vaio.ne.jp>
    http://homepage1.nifty.com/Que/

Follow-Ups
: [plamo:14080] Re: クラッカーに妙なことされた(^^;, Que; [plamo:14081] Re: クラッカーに妙なことされた(^^;, KUSAKABE -bourbon!- Toshiaki; [plamo:14086] Re: クラッカーに妙なことされた(^^;, michihito matsubara

Prev by Date: [plamo:14078] Re: Acrobat Reader 5.0
Next by Date: [plamo:14080] Re: クラッカーに妙なことされた(^^;
Previous by thread: [plamo:14076] Re: Plamo 2.2.5 のsendmail 8.11
Next by thread: [plamo:14080] Re: クラッカーに妙なことされた(^^;
Index(es):
- Date
- Thread

[検索ページ] [メール一覧]
Plamo ML 公開システム