[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:51581] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Kです。
レスありがとうございます。
なるほど、不正アクセスかと思いましたが、cronさんでしたか・・・。
しかし、ブルートフォースアタックを受けた事は確定ですね。
でも・・・
全てのauth.logからSuccessを検索かけても、ブルートフォースアタックで
破られたアカウントは1つもありませんでした。全てFailedとなって
失敗しています。という事はやはりセキュリティホールを突かれた
可能性の方が高いですよね・・・・。
攻撃者は凄腕だったんでしょうか・・・・
こんな大それた事をするってことは「自分のスキルは非常に高い、
絶対に警察に捕まらない」と言う自信の表れかと・・・。
そうはいってもログを残してますけどね・・・
本当に超凄い人ならログ完全に改ざんしてますかね・・・。
> たけばやしです.
>
>
> 書き忘れたので追加で.
>
> debian をインストールして cron の設定を何も変えていないと,
> /etc/crontab にはこんな風に書いてあります.
>
> 25 6 * * * root test -x /usr/sbin/anacron || ( cd / &&
> run-parts -- report /etc/cron.daily )
>
> 「毎日午前 6 時 25 分に cron.daily の中にあるファイルを実行して
> ね.」
> ログが記録されている時刻から見ても,cron の find が出したログでしょ
> う.
>
> Shinya TAKEBAYASHI <takebayashi.shinya@xxxxxxxxxxxxx> wrote in
> message < JP200901090809503.345373968@xxxxxxxxxxxxx>
> *** Subject: [debian-users:51579] Re: 「まとめ」Re: システムをクラッキ
> ングされたようです・・
> *** Date: 2009/01/09 8:09:54
> > たけばやしです.
> >
> >
> > > Jan 5 06:25:02 debian su[28479]: Successful su for nobody by root
> > > Jan 5 06:25:02 debian su[28479]: + ??? root:nobody
> > > Jan 5 06:25:02 debian su[28479]: (pam_unix) session opened for
> > > user nobody by (uid=0) Jan 5 06:25:02 debian su[28479]:
> > > (pam_unix) session
> >
> > これって cron.daily じゃないですか?
> > /etc/cron.daily/find で LOCALUSER=nobody になって updatedb
> > する処理があります.
> >
> >
> > 試しに /etc/crontab に
> >
> > * * * * * root cd / && /etc/cron.daily/find
> >
> > として走らせると,
> >
> > auth.log に
> >
> > Jan 9 08:06:01 mishio su[17617]: Successful su for nobody by
> > root Jan 9 08:06:01 mishio su[17617]: + ??? root:nobody
> > Jan 9 08:06:01 mishio su[17617]: (pam_unix) session opened for
> > user
> nobody
> > by (uid=0)
> >
> > と残ります.
> >
> >
> > ちなみに
> >
> > > Jan 6 22:02:17 debian sshd[605]: Failed password for invalid user
> > > jessica from 72.1.241.230 port 57954 ssh2
> >
> > こいつは紛れもなく Bruteforce Attack の跡です.
> >
> -----------------------------------------------------------
> Shinya TAKEBAYASHI
>
> E-mail: takebayashi.shinya@xxxxxxxxxxxxx
> GPG ID: 395EFCE8
> GPG FP: 58B2 B5D0 A692 1BD8 328B E31E E027 AC35 395E FCE8
> -----------------------------------------------------------
>
--
J K <shogijunki@xxxxxxxxxxx>
--------------------------------------
Power up the Internet with Yahoo! Toolbar.
http://pr.mail.yahoo.co.jp/toolbar/