パスワード換えとバックドアだなきっと。
rootは取られてないと思うんで、システムファイルの変更はないだろうけど、バックドアがずっとパスワードクラックorルート昇格を試みてるかもしれないから、データだけバックアップ取ってOS再インストールが良好。
とりあえず/var/logはバックアップ取って昇格とパスワードクラックの形跡がないか調べるよろし。
あとはまぁ、実際にwgetで落とされたファイルを自分でも落としてみて、どんなツールなのか調べるとか。
やれることはいっぱいある、電源落ちているならこれ以上の被害もないだろう。
Usage: %s [-d] [-b] [-r] [-s] [-c executable] -d — use double-ptrace method (to run interactive programs) -b — start bindshell on port 4112 -r — support randomized pids -c — choose executable to start -s — single-shot mode – abort if unsuccessful at the first tryLinux kmod + ptrace local root exploit by <anszom@v-lo.krakow.pl>
だそうで>km3root取られてるかもね〜lsとかpsとかnetstatとかも置き換わってるかも。色々コマンド差し替えられてるとおもうので、データ救って放棄してしまうのが良いです(興味が無いなら)。ただし、その箱(から/へ)外(に/から)接続できないようにした上でどうぞ。
あえてろ〜ずさんのに付け加えるなら。KNOPPIXから起動してchkrootkit -r してみるところだな。私なら。まぁ、root取られるとかしてないと思うけど。
> ろ〜ず さんアドバイスありがとうございます。/var/logには、該当しそうな時間には、下記の様なログが複数回残っているだけでそのほかには、関連しそうなログは、みつけられませんでした。
Oct 19 01:46:00 ns2 modprobe: modprobe: Can’t locate module net-pf-22
>minemaz さん確認ありがとうございます。さすがにこのままの状態では、怖いので、初期化して、再インストールします。
>oddmake さんアドバイスありがとうございます。chkrootkit -r を実行してみたのですが、何も引っかからなかったです。
chkrootkitとclamavでのウィルススキャンをして引っかからなかったら、次はSELinuxの導入を検討した方がいいと思います。かくいう私もSELinuxは手探り状態ですが…
コメント
パスワード換えとバックドアだなきっと。
rootは取られてないと思うんで、システムファイルの変更はないだろうけど、バックドアがずっとパスワードクラックorルート昇格を試みてるかもしれないから、データだけバックアップ取ってOS再インストールが良好。
とりあえず/var/logはバックアップ取って昇格とパスワードクラックの形跡がないか調べるよろし。
あとはまぁ、実際にwgetで落とされたファイルを自分でも落としてみて、どんなツールなのか調べるとか。
やれることはいっぱいある、電源落ちているならこれ以上の被害もないだろう。
Usage: %s [-d] [-b] [-r] [-s] [-c executable]
-d — use double-ptrace method (to run interactive programs)
-b — start bindshell on port 4112
-r — support randomized pids
-c — choose executable to start
-s — single-shot mode – abort if unsuccessful at the first try
Linux kmod + ptrace local root exploit by <anszom@v-lo.krakow.pl>
だそうで>km3
root取られてるかもね〜
lsとかpsとかnetstatとかも置き換わってるかも。
色々コマンド差し替えられてるとおもうので、データ救って放棄
してしまうのが良いです(興味が無いなら)。ただし、その箱(から
/へ)外(に/から)接続できないようにした上でどうぞ。
あえてろ〜ずさんのに付け加えるなら。
KNOPPIXから起動してchkrootkit -r してみるところだな。私なら。
まぁ、root取られるとかしてないと思うけど。
> ろ〜ず さん
アドバイスありがとうございます。
/var/logには、該当しそうな時間には、下記の様なログが複数回残っているだけでそのほかには、関連しそうなログは、みつけられませんでした。
Oct 19 01:46:00 ns2 modprobe: modprobe: Can’t locate module net-pf-22
>minemaz さん
確認ありがとうございます。
さすがにこのままの状態では、怖いので、初期化して、再インストールします。
>oddmake さん
アドバイスありがとうございます。
chkrootkit -r を実行してみたのですが、何も引っかからなかったです。
chkrootkitとclamavでのウィルススキャンをして引っかからなかったら、
次はSELinuxの導入を検討した方がいいと思います。
かくいう私もSELinuxは手探り状態ですが…