Debian Investigation Report after Server Compromises 訳（2）

[Hideki Yamane <henrich@xxxxxxxxxxx>]

　やまね　です。

》（以下続く。）

Discovery

発見の経緯


On the evening (GMT) of Thursday, November 20th, the admin team
noticed several kernel oopses on master.  Since that system was
running without problems for a long time, the system was about to be
taken into maintenance for deeper investigation of potential hardware
problems.  However, at the same time, a second machine, murphy, was
experiencing exactly the same problems, which made the admins
suspicious.

11/20 の木曜日夕方 (GMT)、管理者チームは master にて kernel oops メッ
セージが複数回発生しているのに気付きました。長期間にわたり、システム
は問題なく動いていたので、ハードウェアトラブルの可能性を考え、詳しい
調査のためにメンテナンスを行おうとしていました。しかし、同時に次のマ
シン murphy が全く同じ問題を発症したことにより、管理者らはこの症状を
怪しみました。


Also, klecker, murphy and gluck have "Advanced Intrusion Detection
Environment" (package aide) installed to monitor filesystem changes
and at around the same time it started warning that /sbin/init had
been replaced and that the mtime and ctime values for
/usr/lib/locale/en_US had changed.

加えて、klecker・murphy・gluck は "Advanced Intrusion Detection Environment"
(aide パッケージ) がファイルシステムの変更監視のためにインストールされ
ており、同時期に /sbin/init が置き換えられ、/usr/lib/locale/en_US の
mtime と ctime の値が変わっているという警告が始まっていました。


Further investigation revealed the cause for both these problems to be
the SucKIT root-kit.  It includes password sniffing and detection
evasion capabilities (i.e. tools to hide processes and files) which
are installed directly into the kernel, which in turn caused the
oopses that were noticed.

さらなる調査によりこれらの問題は SucKIT root-kit によって引き起こされ
たことが明らかになりました。これはパスワード盗聴と検知を誤魔化す機能
(例: プロセスやファイルを隠蔽するツール類)を含み、カーネルに直接イン
ストールされるので、発見された Oops メッセージを引き起こしたのです。

-- 
Regards,

 Hideki Yamane    mailto:henrich @ samba.gr.jp/iijmio-mail.jp