楠根です。
In [linux-users 91994] at Sun, 24 Mar 2002 08:48:34 +0900,
Subject: Re2: ログインが出来なくなった時
Hydenao Kurohara <kuro _at_ 104.net> wrote:
>> 2002/03/24 2:39:46に
>> "Satoshi I.Nozawa" <snozawa _at_ env.sci.ibaraki.ac.jp> 様が
>> 御書きになったメール
>>
>> > crack された可能性もありますが、リブートしてネットワークを使わせないよう
>> > にするというのも、ちょっと侵入者としては間が抜けている感じがします。でも
>> > 壊すことを目的にしているならば、話は別かもしれません。
ping が通らないからといって network が使えないとは限らないでしょう。
攻撃相手から見えなくするために ICMP だけ蹴る DDoS プログラムかも
しれませんし。可能性でいえば、reboot された時点で侵入感知されたとみて、
痕跡を消すために HDD の内容を消すような仕組みも考えられると思います。
>> ルートに
>> 1996800byte psy.tgr
>> という見かけないファイルが存在します。
>> 書き込まれた時間を観るとだいたい停止した時間と一致するのですが,これが
>> 原因でしょうか?
>> 他にも,logがきれいに無くなってました。
こりゃ攻撃を受けたんじゃないかと思いますね。
もちろん物理的に隔離はしていると思いますがしてなければまずそれをして、
件のファイルを別のマシンに転送して解析してみるといいかもしれません。
Linux の file コマンドなどにかけてみると種別を判別できると思いますが、
tar + gz っぽいファイル名なので、
おそらく植えつけられたファイル一式じゃないですかね。
--
Takeshi Kusune <kusune _at_ sfc.wide.ad.jp>
Follow-Ups:
- [linux-users:92004] Re: Re2: ログインが出来なくなった時Bruce Harada
- [linux-users:92007] Re3: ログインが出来なくなった時Hydenao Kurohara
- [linux-users:91994] Re2: ログインが出来なくなった時Hydenao Kurohara
- Prev by Subject: [linux-users:91997] shell scriptからPerl scriptへの引数の渡しについて?
- Next by Subject: [linux-users:91999] Re: [linux-users:91997] shell scriptからPerl scriptへの引数の渡しについて?
- Previous by thread: [linux-users:91994] Re2: ログインが出来なくなった時
- Next by thread: [linux-users:92004] Re: Re2: ログインが出来なくなった時
- Indexes:[Main][Thread]