[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51580] Re: 「まとめ」Re: システムをクラッキングされたようです・・



たけばやしです.


  書き忘れたので追加で.
  
  debian をインストールして cron の設定を何も変えていないと,
/etc/crontab にはこんな風に書いてあります.

  25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --
report /etc/cron.daily )
  
  「毎日午前 6 時 25 分に cron.daily の中にあるファイルを実行してね.」
  
  ログが記録されている時刻から見ても,cron の find が出したログでしょう.
  

Shinya TAKEBAYASHI <takebayashi.shinya@xxxxxxxxxxxxx> wrote in message <
JP200901090809503.345373968@xxxxxxxxxxxxx>
*** Subject: [debian-users:51579] Re: 「まとめ」Re: システムをクラッキングされた
ようです・・
***    Date: 2009/01/09 8:09:54
> たけばやしです.
> 
> 
> > Jan  5 06:25:02 debian su[28479]: Successful su for nobody by root
> > Jan  5 06:25:02 debian su[28479]: + ??? root:nobody
> > Jan  5 06:25:02 debian su[28479]: (pam_unix) session opened for user
> > nobody by (uid=0) Jan  5 06:25:02 debian su[28479]: (pam_unix) session
> 
>   これって cron.daily じゃないですか?
>   /etc/cron.daily/find で LOCALUSER=nobody になって updatedb 
> する処理があります.
> 
> 
>   試しに /etc/crontab に
>   
>     * *     * * *   root    cd / && /etc/cron.daily/find
> 
> として走らせると,
> 
>   auth.log に
>   
>     Jan  9 08:06:01 mishio su[17617]: Successful su for nobody by root
>     Jan  9 08:06:01 mishio su[17617]: + ??? root:nobody
>     Jan  9 08:06:01 mishio su[17617]: (pam_unix) session opened for user 
nobody 
> by (uid=0)
> 
> と残ります.
> 
>   
>   ちなみに
>   
> > Jan  6 22:02:17 debian sshd[605]: Failed password for invalid user
> > jessica from 72.1.241.230 port 57954 ssh2
> 
>   こいつは紛れもなく Bruteforce Attack の跡です.
>   
-----------------------------------------------------------
Shinya TAKEBAYASHI

E-mail: takebayashi.shinya@xxxxxxxxxxxxx
GPG ID: 395EFCE8
GPG FP: 58B2 B5D0 A692 1BD8 328B  E31E E027 AC35 395E FCE8
-----------------------------------------------------------