パスワード換えとバックドアだなきっと。
rootは取られてないと思うんで、システムファイルの変更はないだろうけど、バックドアがずっとパスワードクラックorルート昇格を試みてるかもしれないから、データだけバックアップ取ってOS再インストールが良好。
とりあえず/var/logはバックアップ取って昇格とパスワードクラックの形跡がないか調べるよろし。
あとはまぁ、実際にwgetで落とされたファイルを自分でも落としてみて、どんなツールなのか調べるとか。
やれることはいっぱいある、電源落ちているならこれ以上の被害もないだろう。
Usage: %s [-d] [-b] [-r] [-s] [-c executable] -d — use double-ptrace method (to run interactive programs) -b — start bindshell on port 4112 -r — support randomized pids -c — choose executable to start -s — single-shot mode – abort if unsuccessful at the first try Linux kmod + ptrace local root exploit by <anszom@v-lo.krakow.pl>
だそうで>km3 root取られてるかもね〜 lsとかpsとかnetstatとかも置き換わってるかも。 色々コマンド差し替えられてるとおもうので、データ救って放棄 してしまうのが良いです(興味が無いなら)。ただし、その箱(から /へ)外(に/から)接続できないようにした上でどうぞ。
あえてろ〜ずさんのに付け加えるなら。 KNOPPIXから起動してchkrootkit -r してみるところだな。私なら。 まぁ、root取られるとかしてないと思うけど。
> ろ〜ず さん アドバイスありがとうございます。 /var/logには、該当しそうな時間には、下記の様なログが複数回残っているだけでそのほかには、関連しそうなログは、みつけられませんでした。
Oct 19 01:46:00 ns2 modprobe: modprobe: Can’t locate module net-pf-22
>minemaz さん 確認ありがとうございます。 さすがにこのままの状態では、怖いので、初期化して、再インストールします。
>oddmake さん アドバイスありがとうございます。 chkrootkit -r を実行してみたのですが、何も引っかからなかったです。
chkrootkitとclamavでのウィルススキャンをして引っかからなかったら、 次はSELinuxの導入を検討した方がいいと思います。 かくいう私もSELinuxは手探り状態ですが…
PC、インターネット
PC、インターネット
PC、インターネット
PC、インターネット
PC、インターネット
コメント
パスワード換えとバックドアだなきっと。
rootは取られてないと思うんで、システムファイルの変更はないだろうけど、バックドアがずっとパスワードクラックorルート昇格を試みてるかもしれないから、データだけバックアップ取ってOS再インストールが良好。
とりあえず/var/logはバックアップ取って昇格とパスワードクラックの形跡がないか調べるよろし。
あとはまぁ、実際にwgetで落とされたファイルを自分でも落としてみて、どんなツールなのか調べるとか。
やれることはいっぱいある、電源落ちているならこれ以上の被害もないだろう。
Usage: %s [-d] [-b] [-r] [-s] [-c executable]
-d — use double-ptrace method (to run interactive programs)
-b — start bindshell on port 4112
-r — support randomized pids
-c — choose executable to start
-s — single-shot mode – abort if unsuccessful at the first try
Linux kmod + ptrace local root exploit by <anszom@v-lo.krakow.pl>
だそうで>km3
root取られてるかもね〜
lsとかpsとかnetstatとかも置き換わってるかも。
色々コマンド差し替えられてるとおもうので、データ救って放棄
してしまうのが良いです(興味が無いなら)。ただし、その箱(から
/へ)外(に/から)接続できないようにした上でどうぞ。
あえてろ〜ずさんのに付け加えるなら。
KNOPPIXから起動してchkrootkit -r してみるところだな。私なら。
まぁ、root取られるとかしてないと思うけど。
> ろ〜ず さん
アドバイスありがとうございます。
/var/logには、該当しそうな時間には、下記の様なログが複数回残っているだけでそのほかには、関連しそうなログは、みつけられませんでした。
Oct 19 01:46:00 ns2 modprobe: modprobe: Can’t locate module net-pf-22
>minemaz さん
確認ありがとうございます。
さすがにこのままの状態では、怖いので、初期化して、再インストールします。
>oddmake さん
アドバイスありがとうございます。
chkrootkit -r を実行してみたのですが、何も引っかからなかったです。
chkrootkitとclamavでのウィルススキャンをして引っかからなかったら、
次はSELinuxの導入を検討した方がいいと思います。
かくいう私もSELinuxは手探り状態ですが…