[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:51579] Re: 「まとめ」Re: システムをクラッキングされたようです・・
たけばやしです.
> Jan 5 06:25:02 debian su[28479]: Successful su for nobody by root
> Jan 5 06:25:02 debian su[28479]: + ??? root:nobody
> Jan 5 06:25:02 debian su[28479]: (pam_unix) session opened for user
> nobody by (uid=0) Jan 5 06:25:02 debian su[28479]: (pam_unix) session
これって cron.daily じゃないですか?
/etc/cron.daily/find で LOCALUSER=nobody になって updatedb
する処理があります.
試しに /etc/crontab に
* * * * * root cd / && /etc/cron.daily/find
として走らせると,
auth.log に
Jan 9 08:06:01 mishio su[17617]: Successful su for nobody by root
Jan 9 08:06:01 mishio su[17617]: + ??? root:nobody
Jan 9 08:06:01 mishio su[17617]: (pam_unix) session opened for user nobody
by (uid=0)
と残ります.
ちなみに
> Jan 6 22:02:17 debian sshd[605]: Failed password for invalid user
> jessica from 72.1.241.230 port 57954 ssh2
こいつは紛れもなく Bruteforce Attack の跡です.
-----------------------------------------------------------
Shinya TAKEBAYASHI
E-mail: takebayashi.shinya@xxxxxxxxxxxxx
GPG ID: 395EFCE8
GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8
-----------------------------------------------------------
J K <shogijunki@xxxxxxxxxxx> wrote in message <20090109012850.180b64c2.shogijunki@xxxxxxxxxxx
>
*** Subject: [debian-users:51577] 「まとめ」Re: システムをクラッキングされたよう
です・・
*** Date: 2009/01/09 1:29:07
> Kです。
>
> 皆さん色々なアドバイスをありがとうございます。大変勉強になります。
>
> さて、事後の報告です。
> まず、ログファイルから不正アクセスっぽい部分を抜き出しました。
> これで全てではありませんが、他にも不正アクセスっぽい部分が
> あったのですが、さすがにログファイルが非常に長くて解析に疲れ、
> また他にもやらねばならない事がたくさんあるため、今回はこれぐらい
> で・・・。
>
> /var/log/auth.log
> Jan 7 06:25:03 debian su[2319]: Successful su for nobody by root
>
> Jan 6 22:02:27 debian sshd[611]: Failed password for invalid user
> sales from 72.1.241.230 port 58600 ssh2
>
> Jan 6 22:02:17 debian sshd[605]: Failed password for invalid user
> jessica from 72.1.241.230 port 57954 ssh2
>
> Jan 6 22:01:33 debian sshd[581]: Invalid user user from 72.1.241.230
>
> Jan 5 06:25:02 debian su[28479]: Successful su for nobody by root
> Jan 5 06:25:02 debian su[28479]: + ??? root:nobody
> Jan 5 06:25:02 debian su[28479]: (pam_unix) session opened for user
> nobody by (uid=0) Jan 5 06:25:02 debian su[28479]: (pam_unix) session
> closed for user nobody
>
> /root/.bash_history
> cd /bin/
> file .rnd\ /
> cd .rnd\ /
> ls
> ls -la
> file ..
> ls -la
> cd ..
> ls
> cd /
> cd .sc
> cd /bin/.rnd /.. /. / /.sc/scan
> cd /
> ls -la
>
> .bash_historyファイルをもっと見たかったのですが、ログには
> これだけしか残ってませんでした。
> どうやら「..」と親ディレクトリを意味する名前のディレクトリを
> 作っているような感じですね・・。 cd .. って入力すると
> 親ディレクトリに移動しますが、..っていう名前のディレクトリが
> 仮に作成可能で、存在したとしたら、..ディレクトリに移動する
> んですかね?他にもスペースをディレクトリ名に含んで色々隠していますね。
>
> それとこのログを見る限りは、5日の段階で既にクラッキングされている
> ようですね。その間全く気づかなかったと言うわけですね・・・。
> 何をされたのやら・・・ 怖いですね・・・。
>
> 確かにネットワーク犯罪ではありますが、これは警察に言おうとどうしよう
> もない事なんでしょうか?アクセス元IPがアメリカでしたが
> 多分Proxy経由ですよね。
>
> --
> J K <shogijunki@xxxxxxxxxxx>
> --------------------------------------
> Power up the Internet with Yahoo! Toolbar.
> http://pr.mail.yahoo.co.jp/toolbar/
>