[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:23959] Re: セキュリティーについて
回答ありがとうございます碇です。
KAMO Tomoyuki wrote:
>
> かもです。
> >> いつもお世話になっております碇です。
>
> >> また、auth.logに
> >> Sep 12 06:25:02 foo su[17654]: + ??? root-nobody
> >> の記述があり、なぜ夜中にrootからnobodyにsuしようと
> >> しているのかわかりません。また???にはたぶんコンソール
>
> 推測ですが、これは cron のジョブのどれかが出しているのではないでしょう
> か。
crontabを見たところanacronというが呼ばれていました。
25 6 * * * test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily
とこんな感じです。私のホストにはanacronはインストールしていなかったので、
これが原因かも知れません。
> /etc/crontab や /etc/cron.*/* を確認してみてください。
>
> >> クラックの疑いがある場合何をすればいいのでしょうか?
>
> 以下が参考になると思います。
>
> 技術メモ - コンピュータセキュリティインシデントへの対応
> http://www.jpcert.or.jp/ed/2000/ed000007.txt
>
> How to recover cracked server
> http://www.office.ac/abuse/howto.html
>
早速読みました。また http://www.linux.or.jp/JF/JFdocs/Security-HOWTO-5.html
なども読みました。現状過去に何らかの悪戯をされた可能性が高いが、外側を閉めた為
今現在は侵入出来ないのではないかと思っています。
いずれにしても信用できないので、マシンは入れ替えようと思っています。
DNSとIPマスカレードだけですので、gccやg++又その他のものも除いたホストを
作るつもりです。世の中、困った人たちが多いようですね・・・
--
**************************************
碇 永志 PCA(株) ikari@xxxxxxxxx
**************************************