[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:48861] Re: /root/.bash_history cleared

From: WATANABE Takashi <reader@xxxxxxxxxxx>
Subject: [debian-users:48861] Re: /root/.bash_history cleared
Date: Wed, 13 Jun 2007 23:36:33 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
References: <20070613113042.b5847da2.reader@xxxxxxxxxxx> <87bqfkbgqf.wl%fumiyas@xxxxxxxxxx>
Message-id: <20070613233627.d1bd4fe4.reader@xxxxxxxxxxx>
X-mail-count: 48861
X-mailer: Sylpheed version 2.3.0beta5 (GTK+ 2.8.20; x86_64-pc-linux-gnu)

質問した渡辺です。

On Wed, 13 Jun 2007 14:00:52 +0900
SATOH Fumiyasu <fumiyas@xxxxxxxxxx> wrote:

> さとうふみやす @ OSS テクノロジです。
> 
> At Wed, 13 Jun 2007 11:30:47 +0900,
> WATANABE Takashi wrote:
> > 現象:
> >  ssh でログインして操作しているホストにて、/root/.bash_history 
> > が知らぬ間に空にされていました。
> 
> 私は経験ありませんね。HISTFILESIZE=0 にして exit したとか?

あるいは、
# cp /dev/null /root/.bash_history
# unset HISTFILE
# exit
とか。いずれにしても、このような特徴的な行動をとったら、
さすがに覚えていますよね。(^^;
ちなみに、このホストは、私以外に合法の利用者は居ません。

BTS にある
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=283702
に似たような現象である可能性は、あり得ないのかな。

> > 問題:
> >  クラックされているのではないか心配です。
> 
> 私の過去に見たクラックされたホストは:
>   * OS が不安定になる。
>     → バックドアの類がカーネルモジュールか何かで仕掛けらて、
>        そいつにバグがある?
>   * 過去に利用していたコマンドのオプションが利用できなく
>     なったり、コマンド出力のフォーマットが微妙に変化したり、
>     期待した動作をしない。
>     → コマンドが置き換えられている。
> といった現象でクラックに気付いたことがあります。

なるほど。今のところ、そういった感じはしません。

> > no md5sums for 何々
> > という大量のメッセージが出ていますが、これらの
> > パッケージは念のため、リインストールすべきでしょうか？
> 
> パッケージによってはパッケージに含まれるファイルの
> MD5 情報が含まれていないものがあります。そのような
> パッケージに対して debsums を実行すると、そのような
> 結果になります。debsums を設定すれば、MD5 情報のない
> パッケージのインストール直後に MD5 を計算・保存
> してくれますよ。`dpkg-reconfigure debsums`

なるほど。dpkg-reconfigure で設定して有効にするんですね。
単純に、debsums のインストール以降ならオーケーなのかと思って
いました。勉強になります。

tripwire とかもそうでしょうが、これって、クラックされる前に
やっておいて、md5sum は read-only な場所やリモート操作でアク
セスできないような場所に保存しておかないといけませんね。 
USB メモリにコピーしておいて、普段は物理的に外しておくとか
で良いかな。

一度、クリーンインストールし直して、徹底的に対策を講じておく
べきか。でも、aptitude update -> aptitude upgrade の度に、
新しい md5sum を安全な場所にコピーしないといけないか。ちょっと
面倒くさいかも。tripwire を本格的に使ってみるべきかな。

地震対策とかと全く同じですね。面倒くさいけれど、
備えあれば憂い無し...なのかな。

> 例示に用いるドメインは実在する可能性のあるドメインではなく、
> example.com, example.jp ... などにしましょう。

そうでした。気をつけます。

Follow-Ups:
- [debian-users:48905] integrity checks in a Debian way?
  - From: WATANABE Takashi

References:
- [debian-users:48850] /root/.bash_history cleared
  - From: WATANABE Takashi
- [debian-users:48856] Re: /root/.bash_history cleared
  - From: SATOH Fumiyasu

Prev by Date: [debian-users:48860] Re: Etchでフォートランのリンクエラー
Next by Date: [debian-users:48862] Re: ProFTPDのUserPasswordについて
Previous by thread: [debian-users:48856] Re: /root/.bash_history cleared
Next by thread: [debian-users:48905] integrity checks in a Debian way?
Index(es):
- Date
- Thread