[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian Investigation Report after Server Compromises 訳(2)

 やまね です。




On the evening (GMT) of Thursday, November 20th, the admin team
noticed several kernel oopses on master.  Since that system was
running without problems for a long time, the system was about to be
taken into maintenance for deeper investigation of potential hardware
problems.  However, at the same time, a second machine, murphy, was
experiencing exactly the same problems, which made the admins

11/20 の木曜日夕方 (GMT)、管理者チームは master にて kernel oops メッ
シン murphy が全く同じ問題を発症したことにより、管理者らはこの症状を

Also, klecker, murphy and gluck have "Advanced Intrusion Detection
Environment" (package aide) installed to monitor filesystem changes
and at around the same time it started warning that /sbin/init had
been replaced and that the mtime and ctime values for
/usr/lib/locale/en_US had changed.

加えて、klecker・murphy・gluck は "Advanced Intrusion Detection Environment"
(aide パッケージ) がファイルシステムの変更監視のためにインストールされ
ており、同時期に /sbin/init が置き換えられ、/usr/lib/locale/en_US の
mtime と ctime の値が変わっているという警告が始まっていました。

Further investigation revealed the cause for both these problems to be
the SucKIT root-kit.  It includes password sniffing and detection
evasion capabilities (i.e. tools to hide processes and files) which
are installed directly into the kernel, which in turn caused the
oopses that were noticed.

さらなる調査によりこれらの問題は SucKIT root-kit によって引き起こされ
(例: プロセスやファイルを隠蔽するツール類)を含み、カーネルに直接イン
ストールされるので、発見された Oops メッセージを引き起こしたのです。


 Hideki Yamane    mailto:henrich @ samba.gr.jp/iijmio-mail.jp