[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:48856] Re: /root/.bash_history cleared

From: SATOH Fumiyasu <fumiyas@xxxxxxxxxx>
Subject: [debian-users:48856] Re: /root/.bash_history cleared
Date: Wed, 13 Jun 2007 14:00:52 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
Organization: OSS Technology Co. / Samba-JP / LDAP-JP / Apache-JP
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
X-virus-scanned: Debian amavisd-new at sfo.jp
References: <20070613113042.b5847da2.reader@xxxxxxxxxxx>
Message-id: <87bqfkbgqf.wl%fumiyas@xxxxxxxxxx>
X-mail-count: 48856
User-agent: Wanderlust/2.14.0 (Africa) XEmacs/21.4 (Double Solitaire)

さとうふみやす @ OSS テクノロジです。

At Wed, 13 Jun 2007 11:30:47 +0900,
WATANABE Takashi wrote:
> 現象:
>  ssh でログインして操作しているホストにて、/root/.bash_history 
> が知らぬ間に空にされていました。

私は経験ありませんね。HISTFILESIZE=0 にして exit したとか?

> 問題:
>  クラックされているのではないか心配です。

私の過去に見たクラックされたホストは:
  * OS が不安定になる。
    → バックドアの類がカーネルモジュールか何かで仕掛けらて、
       そいつにバグがある?
  * 過去に利用していたコマンドのオプションが利用できなく
    なったり、コマンド出力のフォーマットが微妙に変化したり、
    期待した動作をしない。
    → コマンドが置き換えられている。
といった現象でクラックに気付いたことがあります。

> 正直に言うと、この中で、私の無知による不安を感じているのは、
> bind 関連の設定であり、特に、/etc/bind/named.conf.options 
> での次のような変更点が心配です。
> +       forwarders {
> +               // my ISP's name servers
> +               203.141.128.33;
> +               203.141.128.34;
> +       };
> +       allow-transfer { none; };
> +       allow-query { localnets; };

問題ないような。

> /etc/uim/installed-modules.scm
> /etc/uim/loader.scm
> これらは、自分で変更した記憶はありませんが、独自に、uim-skk
> パッケージのインストールはしました。その影響でしょうか？

こちらは知らないです。

> no md5sums for 何々
> という大量のメッセージが出ていますが、これらの
> パッケージは念のため、リインストールすべきでしょうか？

パッケージによってはパッケージに含まれるファイルの
MD5 情報が含まれていないものがあります。そのような
パッケージに対して debsums を実行すると、そのような
結果になります。debsums を設定すれば、MD5 情報のない
パッケージのインストール直後に MD5 を計算・保存
してくれますよ。`dpkg-reconfigure debsums`

> というか、netfilter を使っているようなホストをクラックできる
> ような人物なら、/var/log/auth.log はもとより、chkrootkit や
> debsums に、異常が出てしまうような痕跡は残さないでしょうか？？？

chkrootkit を回避する方法もあるでしょうし、debsums も同じ
でしょうね。

以下は途中で見るのが面倒になったので見ていません。(^^;

> @       IN      SOA     dns.myDomain.org.        root.dns.myDomain.org. (

例示に用いるドメインは実在する可能性のあるドメインではなく、
example.com, example.jp ... などにしましょう。

-- 
-- Name: SATOH Fumiyasu / fumiyas @ osstech.co.jp
-- Business Home: http://www.OSSTech.co.jp
-- Personal Home: http://www.SFO.jp/blog/

Follow-Ups:
- [debian-users:48861] Re: /root/.bash_history cleared
  - From: WATANABE Takashi

References:
- [debian-users:48850] /root/.bash_history cleared
  - From: WATANABE Takashi

Prev by Date: [debian-users:48855] Re: /root/.bash_history cleared
Next by Date: [debian-users:48857] Re: FTPサーバ
Previous by thread: [debian-users:48855] Re: /root/.bash_history cleared
Next by thread: [debian-users:48861] Re: /root/.bash_history cleared
Index(es):
- Date
- Thread