自宅サーバが進入されました。

人気の記事:

コメント

  1. れいな より:

    パスワード換えとバックドアだなきっと。

    rootは取られてないと思うんで、システムファイルの変更はないだろうけど、バックドアがずっとパスワードクラックorルート昇格を試みてるかもしれないから、データだけバックアップ取ってOS再インストールが良好。

    とりあえず/var/logはバックアップ取って昇格とパスワードクラックの形跡がないか調べるよろし。

    あとはまぁ、実際にwgetで落とされたファイルを自分でも落としてみて、どんなツールなのか調べるとか。

    やれることはいっぱいある、電源落ちているならこれ以上の被害もないだろう。

  2. minemaz より:

    Usage: %s [-d] [-b] [-r] [-s] [-c executable]

    -d — use double-ptrace method (to run interactive programs)

    -b — start bindshell on port 4112

    -r — support randomized pids

    -c — choose executable to start

    -s — single-shot mode – abort if unsuccessful at the first try

    Linux kmod + ptrace local root exploit by <anszom@v-lo.krakow.pl>

    だそうで>km3

    root取られてるかもね〜

    lsとかpsとかnetstatとかも置き換わってるかも。

    色々コマンド差し替えられてるとおもうので、データ救って放棄

    してしまうのが良いです(興味が無いなら)。ただし、その箱(から

    /へ)外(に/から)接続できないようにした上でどうぞ。

  3. oddmake より:

    あえてろ〜ずさんのに付け加えるなら。

    KNOPPIXから起動してchkrootkit -r してみるところだな。私なら。

    まぁ、root取られるとかしてないと思うけど。

  4. aki より:

    > ろ〜ず さん

    アドバイスありがとうございます。

    /var/logには、該当しそうな時間には、下記の様なログが複数回残っているだけでそのほかには、関連しそうなログは、みつけられませんでした。

    Oct 19 01:46:00 ns2 modprobe: modprobe: Can’t locate module net-pf-22

    >minemaz さん

    確認ありがとうございます。

    さすがにこのままの状態では、怖いので、初期化して、再インストールします。

    >oddmake さん

    アドバイスありがとうございます。

    chkrootkit -r を実行してみたのですが、何も引っかからなかったです。

  5. chkrootkitとclamavでのウィルススキャンをして引っかからなかったら、

    次はSELinuxの導入を検討した方がいいと思います。

    かくいう私もSELinuxは手探り状態ですが…