[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:51577] 「まとめ」Re: システムをクラッキングされたようです・・
Kです。
皆さん色々なアドバイスをありがとうございます。大変勉強になります。
さて、事後の報告です。
まず、ログファイルから不正アクセスっぽい部分を抜き出しました。
これで全てではありませんが、他にも不正アクセスっぽい部分が
あったのですが、さすがにログファイルが非常に長くて解析に疲れ、
また他にもやらねばならない事がたくさんあるため、今回はこれぐらい
で・・・。
/var/log/auth.log
Jan 7 06:25:03 debian su[2319]: Successful su for nobody by root
Jan 6 22:02:27 debian sshd[611]: Failed password for invalid user
sales from 72.1.241.230 port 58600 ssh2
Jan 6 22:02:17 debian sshd[605]: Failed password for invalid user
jessica from 72.1.241.230 port 57954 ssh2
Jan 6 22:01:33 debian sshd[581]: Invalid user user from 72.1.241.230
Jan 5 06:25:02 debian su[28479]: Successful su for nobody by root
Jan 5 06:25:02 debian su[28479]: + ??? root:nobody
Jan 5 06:25:02 debian su[28479]: (pam_unix) session opened for user
nobody by (uid=0) Jan 5 06:25:02 debian su[28479]: (pam_unix) session
closed for user nobody
/root/.bash_history
cd /bin/
file .rnd\ /
cd .rnd\ /
ls
ls -la
file ..
ls -la
cd ..
ls
cd /
cd .sc
cd /bin/.rnd /.. /. / /.sc/scan
cd /
ls -la
.bash_historyファイルをもっと見たかったのですが、ログには
これだけしか残ってませんでした。
どうやら「..」と親ディレクトリを意味する名前のディレクトリを
作っているような感じですね・・。 cd .. って入力すると
親ディレクトリに移動しますが、..っていう名前のディレクトリが
仮に作成可能で、存在したとしたら、..ディレクトリに移動する
んですかね?他にもスペースをディレクトリ名に含んで色々隠していますね。
それとこのログを見る限りは、5日の段階で既にクラッキングされている
ようですね。その間全く気づかなかったと言うわけですね・・・。
何をされたのやら・・・ 怖いですね・・・。
確かにネットワーク犯罪ではありますが、これは警察に言おうとどうしよう
もない事なんでしょうか?アクセス元IPがアメリカでしたが
多分Proxy経由ですよね。
--
J K <shogijunki@xxxxxxxxxxx>
--------------------------------------
Power up the Internet with Yahoo! Toolbar.
http://pr.mail.yahoo.co.jp/toolbar/