[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51578] Re: 「まとめ」Re: システムをクラッキングされたようです・・

From: J K <shogijunki@xxxxxxxxxxx>
Subject: [debian-users:51578] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Date: Fri, 9 Jan 2009 01:34:33 +0900
Domainkey-signature: a=rsa-sha1; q=dns; c=nofws; s=yj20050223; d=yahoo.co.jp; h=Received:X-Apparently-From:Date:From:To:Subject:Message-Id:In-Reply-To:References:X-Mailer:Mime-Version:Content-Type:Content-Transfer-Encoding; b=RyFsOQlHUrbIkvz6504M7dFM7gS1ktxJGMD9cCy8FCypbVxDUKsAXP/8xG3c+EUjWq2bN7yM0oAclgIs++8mEKEQ7lvt8NEgTZZmBjTXgxEOpLzEOayBXOKmuZHOmF9z ;
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-apparently-from: <shogijunki@xxxxxxxxxxx>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.5 required=10.0 tests=KI,PLING_QUERY, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
References: <87d4f086n7.wl%algo-ml@xxxxxxxxxxxxxxx> <20090107064243.a185f38a.shogijunki@xxxxxxxxxxx> <20090107103617.06E0.IKARI-ML@xxxxxxxx> <20090107111506.3f9fe16f.shogijunki@xxxxxxxxxxx> <JW2009010711321829.184721531@xxxxxxxxxxxxx> <20090107115924.64030cd2.shogijunki@xxxxxxxxxxx> <16db92ac0901061922v1b4e4073u84b81f52af1929a2@xxxxxxxxxxxxxx> <20090107124819.d258454c.shogijunki@xxxxxxxxxxx> <20090107140143.a5db5eff.yabuki@xxxxxxxxxxxxx> <20090109012850.180b64c2.shogijunki@xxxxxxxxxxx>
Message-id: <20090109013416.4e8ee78b.shogijunki@xxxxxxxxxxx>
X-mail-count: 51578
X-mailer: Sylpheed 2.6.0 (GTK+ 2.10.14; i686-pc-mingw32)

Kです。

追記です。

事後報告と言って事後どうしたのか書いてませんでした。
結局データはKNOPPIXのSambaでなんとか抜き出しました。
そして、ログファイルも一応抜いてDebianインストーラからシステム
をフォーマットして再インストールし、環境構築しなおしました。
その際ルータの設定を、必要最小限のポートしか通さないようにし、
さらに毎日 # apt-get update; apt-get upgrade を1回自動で実行
するようにcronに組み込み、chkrootkitをインストールしました。
そして、sshd_configファイルにて PermitRootLogin no にしました。
本当はまだtripwireが入ってないし、hosts.allowとhosts.denyもしくは
iptablesを設定してないので足りないのですが、学校も始まり
忙しくなってきたので、現段階ではこの辺で作業が止まっています。
早いところtripwire入れたいですね。

> Kです。
> 
> 皆さん色々なアドバイスをありがとうございます。大変勉強になります。
> 
> さて、事後の報告です。
> まず、ログファイルから不正アクセスっぽい部分を抜き出しました。
> これで全てではありませんが、他にも不正アクセスっぽい部分が
> あったのですが、さすがにログファイルが非常に長くて解析に疲れ、
> また他にもやらねばならない事がたくさんあるため、今回はこれぐらい
> で・・・。
> 
> /var/log/auth.log
> Jan  7 06:25:03 debian su[2319]: Successful su for nobody by root
> 
> Jan  6 22:02:27 debian sshd[611]: Failed password for invalid user
> sales from 72.1.241.230 port 58600 ssh2
> 
> Jan  6 22:02:17 debian sshd[605]: Failed password for invalid user
> jessica from 72.1.241.230 port 57954 ssh2
> 
> Jan  6 22:01:33 debian sshd[581]: Invalid user user from 72.1.241.230
> 
> Jan  5 06:25:02 debian su[28479]: Successful su for nobody by root
> Jan  5 06:25:02 debian su[28479]: + ??? root:nobody
> Jan  5 06:25:02 debian su[28479]: (pam_unix) session opened for user
> nobody by (uid=0) Jan  5 06:25:02 debian su[28479]: (pam_unix) session
> closed for user nobody
> 
> /root/.bash_history
> cd /bin/
> file .rnd\ /
> cd .rnd\ /
> ls
> ls -la
> file ..
> ls -la
> cd ..
> ls
> cd /
> cd .sc
> cd /bin/.rnd /..   /.       /          /.sc/scan
> cd /
> ls -la
> 
> .bash_historyファイルをもっと見たかったのですが、ログには
> これだけしか残ってませんでした。
> どうやら「..」と親ディレクトリを意味する名前のディレクトリを
> 作っているような感じですね・・。 cd .. って入力すると
> 親ディレクトリに移動しますが、..っていう名前のディレクトリが
> 仮に作成可能で、存在したとしたら、..ディレクトリに移動する
> んですかね？他にもスペースをディレクトリ名に含んで色々隠していますね。
> 
> それとこのログを見る限りは、5日の段階で既にクラッキングされている
> ようですね。その間全く気づかなかったと言うわけですね・・・。
> 何をされたのやら・・・　怖いですね・・・。
> 
> 確かにネットワーク犯罪ではありますが、これは警察に言おうとどうしよう
> もない事なんでしょうか？アクセス元IPがアメリカでしたが
> 多分Proxy経由ですよね。
> 
> -- 
> J K <shogijunki@xxxxxxxxxxx>
> --------------------------------------
> Power up the Internet with Yahoo! Toolbar.
> http://pr.mail.yahoo.co.jp/toolbar/
> 


-- 
J K <shogijunki@xxxxxxxxxxx>
--------------------------------------
Power up the Internet with Yahoo! Toolbar.
http://pr.mail.yahoo.co.jp/toolbar/

References:
- [debian-users:51525] Re: システムをクラッキングされたようです・・
  - From: algo-ml
- [debian-users:51526] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51527] Re: システムをクラッキングされたようです・・
  - From: ikari-ml
- [debian-users:51531] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51536] Re: システムをクラッキングされたようです・・
  - From: Shinya TAKEBAYASHI
- [debian-users:51538] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51540] Re: システムをクラッキングされたようです・・
  - From: SHIMIZU
- [debian-users:51542] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51546] Re: システムをクラッキングされたようです・・
  - From: Yukiharu Yabuki
- [debian-users:51577] 「まとめ」Re: システムをクラッキングされたようです・・
  - From: J K

Prev by Date: [debian-users:51577] 「まとめ」Re: システムをクラッキングされたようです・・
Next by Date: [debian-users:51579] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Previous by thread: [debian-users:51577] 「まとめ」Re: システムをクラッキングされたようです・・
Next by thread: [debian-users:51579] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Index(es):
- Date
- Thread