[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:51580] Re: 「まとめ」Re: システムをクラッキングされたようです・・
たけばやしです.
書き忘れたので追加で.
debian をインストールして cron の設定を何も変えていないと,
/etc/crontab にはこんな風に書いてあります.
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --
report /etc/cron.daily )
「毎日午前 6 時 25 分に cron.daily の中にあるファイルを実行してね.」
ログが記録されている時刻から見ても,cron の find が出したログでしょう.
Shinya TAKEBAYASHI <takebayashi.shinya@xxxxxxxxxxxxx> wrote in message <
JP200901090809503.345373968@xxxxxxxxxxxxx>
*** Subject: [debian-users:51579] Re: 「まとめ」Re: システムをクラッキングされた
ようです・・
*** Date: 2009/01/09 8:09:54
> たけばやしです.
>
>
> > Jan 5 06:25:02 debian su[28479]: Successful su for nobody by root
> > Jan 5 06:25:02 debian su[28479]: + ??? root:nobody
> > Jan 5 06:25:02 debian su[28479]: (pam_unix) session opened for user
> > nobody by (uid=0) Jan 5 06:25:02 debian su[28479]: (pam_unix) session
>
> これって cron.daily じゃないですか?
> /etc/cron.daily/find で LOCALUSER=nobody になって updatedb
> する処理があります.
>
>
> 試しに /etc/crontab に
>
> * * * * * root cd / && /etc/cron.daily/find
>
> として走らせると,
>
> auth.log に
>
> Jan 9 08:06:01 mishio su[17617]: Successful su for nobody by root
> Jan 9 08:06:01 mishio su[17617]: + ??? root:nobody
> Jan 9 08:06:01 mishio su[17617]: (pam_unix) session opened for user
nobody
> by (uid=0)
>
> と残ります.
>
>
> ちなみに
>
> > Jan 6 22:02:17 debian sshd[605]: Failed password for invalid user
> > jessica from 72.1.241.230 port 57954 ssh2
>
> こいつは紛れもなく Bruteforce Attack の跡です.
>
-----------------------------------------------------------
Shinya TAKEBAYASHI
E-mail: takebayashi.shinya@xxxxxxxxxxxxx
GPG ID: 395EFCE8
GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8
-----------------------------------------------------------