[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51581] Re: 「まとめ」Re: システムをクラッキングされたようです・・

From: J K <shogijunki@xxxxxxxxxxx>
Subject: [debian-users:51581] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Date: Fri, 9 Jan 2009 18:12:00 +0900
Domainkey-signature: a=rsa-sha1; q=dns; c=nofws; s=yj20050223; d=yahoo.co.jp; h=Received:X-Apparently-From:Date:From:To:Subject:Message-Id:In-Reply-To:References:X-Mailer:Mime-Version:Content-Type:Content-Transfer-Encoding; b=nq5Fq5K0stVJEUx8K/Vs/tu7PrK6MfZJemasEEqBTZ85V6dFphHB5lmV2cYYsnK1EQYYJsboPa0IyiuehcpiU9dT995zzStfzGjKJ90zeXutBVxM71Xhi/UH0lFCA67q ;
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-apparently-from: <shogijunki@xxxxxxxxxxx>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.5 required=10.0 tests=KI,PLING_QUERY, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
References: <87d4f086n7.wl%algo-ml@xxxxxxxxxxxxxxx> <20090107064243.a185f38a.shogijunki@xxxxxxxxxxx> <20090107103617.06E0.IKARI-ML@xxxxxxxx> <20090107111506.3f9fe16f.shogijunki@xxxxxxxxxxx> <JW2009010711321829.184721531@xxxxxxxxxxxxx> <20090107115924.64030cd2.shogijunki@xxxxxxxxxxx> <16db92ac0901061922v1b4e4073u84b81f52af1929a2@xxxxxxxxxxxxxx> <20090107124819.d258454c.shogijunki@xxxxxxxxxxx> <20090107140143.a5db5eff.yabuki@xxxxxxxxxxxxx> <20090109012850.180b64c2.shogijunki@xxxxxxxxxxx> <JP200901090809503.345373968@xxxxxxxxxxxxx> <JX200901090816105.345753953@xxxxxxxxxxxxx>
Message-id: <20090109181142.673cf7ab.shogijunki@xxxxxxxxxxx>
X-mail-count: 51581
X-mailer: Sylpheed 2.6.0 (GTK+ 2.10.14; i686-pc-mingw32)

Kです。

レスありがとうございます。

なるほど、不正アクセスかと思いましたが、cronさんでしたか・・・。

しかし、ブルートフォースアタックを受けた事は確定ですね。
でも・・・
全てのauth.logからSuccessを検索かけても、ブルートフォースアタックで
破られたアカウントは1つもありませんでした。全てFailedとなって
失敗しています。という事はやはりセキュリティホールを突かれた
可能性の方が高いですよね・・・・。
攻撃者は凄腕だったんでしょうか・・・・

こんな大それた事をするってことは「自分のスキルは非常に高い、
絶対に警察に捕まらない」と言う自信の表れかと・・・。
そうはいってもログを残してますけどね・・・
本当に超凄い人ならログ完全に改ざんしてますかね・・・。

> たけばやしです．
> 
> 
>   書き忘れたので追加で．
>   
>   debian をインストールして cron の設定を何も変えていないと，
> /etc/crontab にはこんな風に書いてあります．
> 
>   25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / &&
> run-parts -- report /etc/cron.daily )
>   
>   「毎日午前 6 時 25 分に cron.daily の中にあるファイルを実行して
> ね．」 
>   ログが記録されている時刻から見ても，cron の find が出したログでしょ
> う． 
> 
> Shinya TAKEBAYASHI <takebayashi.shinya@xxxxxxxxxxxxx> wrote in
> message < JP200901090809503.345373968@xxxxxxxxxxxxx>
> *** Subject: [debian-users:51579] Re: 「まとめ」Re: システムをクラッキ
> ングされたようです・・
> ***    Date: 2009/01/09 8:09:54
> > たけばやしです．
> > 
> > 
> > > Jan  5 06:25:02 debian su[28479]: Successful su for nobody by root
> > > Jan  5 06:25:02 debian su[28479]: + ??? root:nobody
> > > Jan  5 06:25:02 debian su[28479]: (pam_unix) session opened for
> > > user nobody by (uid=0) Jan  5 06:25:02 debian su[28479]:
> > > (pam_unix) session
> > 
> >   これって cron.daily じゃないですか？
> >   /etc/cron.daily/find で LOCALUSER=nobody になって updatedb 
> > する処理があります．
> > 
> > 
> >   試しに /etc/crontab に
> >   
> >     * *     * * *   root    cd / && /etc/cron.daily/find
> > 
> > として走らせると，
> > 
> >   auth.log に
> >   
> >     Jan  9 08:06:01 mishio su[17617]: Successful su for nobody by
> > root Jan  9 08:06:01 mishio su[17617]: + ??? root:nobody
> >     Jan  9 08:06:01 mishio su[17617]: (pam_unix) session opened for
> > user 
> nobody 
> > by (uid=0)
> > 
> > と残ります．
> > 
> >   
> >   ちなみに
> >   
> > > Jan  6 22:02:17 debian sshd[605]: Failed password for invalid user
> > > jessica from 72.1.241.230 port 57954 ssh2
> > 
> >   こいつは紛れもなく Bruteforce Attack の跡です．
> >   
> -----------------------------------------------------------
> Shinya TAKEBAYASHI
> 
> E-mail: takebayashi.shinya@xxxxxxxxxxxxx
> GPG ID: 395EFCE8
> GPG FP: 58B2 B5D0 A692 1BD8 328B  E31E E027 AC35 395E FCE8
> -----------------------------------------------------------
> 


-- 
J K <shogijunki@xxxxxxxxxxx>
--------------------------------------
Power up the Internet with Yahoo! Toolbar.
http://pr.mail.yahoo.co.jp/toolbar/

Follow-Ups:
- [debian-users:51582] Re: 「まとめ」Re: システムをクラッキングされたようです・・
  - From: algo-ml
- [debian-users:51585] Re: 「まとめ」Re: システムをクラッキングされたようです・・
  - From: YamYas

References:
- [debian-users:51525] Re: システムをクラッキングされたようです・・
  - From: algo-ml
- [debian-users:51526] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51527] Re: システムをクラッキングされたようです・・
  - From: ikari-ml
- [debian-users:51531] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51536] Re: システムをクラッキングされたようです・・
  - From: Shinya TAKEBAYASHI
- [debian-users:51538] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51540] Re: システムをクラッキングされたようです・・
  - From: SHIMIZU
- [debian-users:51542] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51546] Re: システムをクラッキングされたようです・・
  - From: Yukiharu Yabuki
- [debian-users:51577] 「まとめ」Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51579] Re: 「まとめ」Re: システムをクラッキングされたようです・・
  - From: Shinya TAKEBAYASHI
- [debian-users:51580] Re: 「まとめ」Re: システムをクラッキングされたようです・・
  - From: Shinya TAKEBAYASHI

Prev by Date: [debian-users:51580] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Next by Date: [debian-users:51582] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Previous by thread: [debian-users:51580] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Next by thread: [debian-users:51582] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Index(es):
- Date
- Thread