自宅サーバが進入されました。 PC、インターネット Twitter Facebook はてブ Google+ Pocket LINE 2004.11.162010.08.31 人気の記事: 雰囲気≠ふいんき マッシュ・アップ系のサイト紹介 ZBOARDってどうですか? 宣伝はここで 最初なので最近個人的に注目したニュース 教えてエロい人!! P5レスキュー 今週はどこに行く? はじめまして【自己紹介統合】 はじめまして【自己紹介統合】 冷房無し、または弱冷房の素敵なスポット
PC、インターネット
PC、インターネット
PC、インターネット
PC、インターネット
PC、インターネット
PC、インターネット
コメント
パスワード換えとバックドアだなきっと。
rootは取られてないと思うんで、システムファイルの変更はないだろうけど、バックドアがずっとパスワードクラックorルート昇格を試みてるかもしれないから、データだけバックアップ取ってOS再インストールが良好。
とりあえず/var/logはバックアップ取って昇格とパスワードクラックの形跡がないか調べるよろし。
あとはまぁ、実際にwgetで落とされたファイルを自分でも落としてみて、どんなツールなのか調べるとか。
やれることはいっぱいある、電源落ちているならこれ以上の被害もないだろう。
Usage: %s [-d] [-b] [-r] [-s] [-c executable]
-d — use double-ptrace method (to run interactive programs)
-b — start bindshell on port 4112
-r — support randomized pids
-c — choose executable to start
-s — single-shot mode – abort if unsuccessful at the first try
Linux kmod + ptrace local root exploit by <anszom@v-lo.krakow.pl>
だそうで>km3
root取られてるかもね〜
lsとかpsとかnetstatとかも置き換わってるかも。
色々コマンド差し替えられてるとおもうので、データ救って放棄
してしまうのが良いです(興味が無いなら)。ただし、その箱(から
/へ)外(に/から)接続できないようにした上でどうぞ。
あえてろ〜ずさんのに付け加えるなら。
KNOPPIXから起動してchkrootkit -r してみるところだな。私なら。
まぁ、root取られるとかしてないと思うけど。
> ろ〜ず さん
アドバイスありがとうございます。
/var/logには、該当しそうな時間には、下記の様なログが複数回残っているだけでそのほかには、関連しそうなログは、みつけられませんでした。
Oct 19 01:46:00 ns2 modprobe: modprobe: Can’t locate module net-pf-22
>minemaz さん
確認ありがとうございます。
さすがにこのままの状態では、怖いので、初期化して、再インストールします。
>oddmake さん
アドバイスありがとうございます。
chkrootkit -r を実行してみたのですが、何も引っかからなかったです。
chkrootkitとclamavでのウィルススキャンをして引っかからなかったら、
次はSELinuxの導入を検討した方がいいと思います。
かくいう私もSELinuxは手探り状態ですが…