Cracking被害にあったようなので、内容を晒します

このエントリーをはてなブックマークに追加
1サーバ”管理”者
構築したばっかりのサーバですが、挙動がおかしいのでネットワークから切り離した。
コンソールからログインしてみると、/root/ /.b/jというプログラムが実行されていて
あるIP(ロシアのIP)宛て大量にパケットを送信していました。
同じ被害にあわないためにも、情報共有します。
質問があればどうぞ
2login:Penguin:2010/02/15(月) 09:55:49 ID:wBVDB0s+

「質問があればどうぞ」って、君、自分でどこが悪かったか診断したわけ?
そもそもどのサービスがクラックされたのかも書かれてない。
スレ立てるぐらいなんだから、もっと詳細書けよ。
それじゃなきゃ、削除依頼だしてこい。
3login:Penguin:2010/02/15(月) 10:00:32 ID:Kal7vdI3
釣り
4login:Penguin:2010/02/15(月) 10:04:29 ID:cVaZ3y0V
>2

すまん。
今確認中なので、随時詳細を書き込むようにします。

パケットをキャプチャすると、送信元IPは偽装し、ロシアのIPのTCP/113(IDENT)に
大量のパケットを送信している

/root/ /.b/以下には、他のファイルもあるので今から確認する
5login:Penguin:2010/02/15(月) 10:06:17 ID:cVaZ3y0V
ちなみに、OSはCentOS5.4 i386、先週の金曜日にIIJのFTPサーバから取得したイメージでインストールしたばかり。
6login:Penguin:2010/02/15(月) 10:17:58 ID:cVaZ3y0V
/root/ /.bには、以下のようなファイルがある。
この中のhttpdがjを起動したもよう。

[root@host .b]# pwd
/root/ /.b
[root@host .b]# ls -la
total 428
drwx------ 2 510 510 4096 Feb 13 20:00 .
drwxr-xr-x 3 root root 4096 Feb 13 19:16 ..
-rw-r--r-- 1 root root 124 Feb 13 23:00 1
-rwx--x--x 1 510 510 8922 Jan 24 2006 b
-rwx--x--x 1 510 510 19557 May 10 2005 b2
-rwx--x--x 1 510 510 10796 Oct 10 2007 c4
-rwx--x--x 1 510 510 8687 Jan 24 2006 f
-rwx--x--x 1 510 510 14679 Nov 3 2005 f4
-rwx--x--x 1 510 510 15125 Jan 10 2006 h
-rwx--x--x 1 510 510 152108 Jun 1 2001 httpd
-rwx--x--x 1 510 510 10848 May 30 2005 j
-rwx--x--x 1 510 510 13850 May 30 2005 j2
-rw-r--r-- 1 root root 821 Feb 14 01:20 juno.seen
-rwx--x--x 1 510 510 22983 Jul 30 2004 mech.help
-rw-r--r-- 1 510 510 1064 Feb 15 10:00 mech.levels
-rwx--x--x 1 510 510 5 Feb 13 19:16 mech.pid
-rw-r--r-- 1 root root 260 Feb 15 10:00 mech.session
-rw-r--r-- 1 root root 456 Feb 1 07:55 mech.set
7login:Penguin:2010/02/15(月) 10:20:52 ID:cVaZ3y0V
-rwx--x--x 1 510 510 15078 Feb 21 2005 s
-rwx--x--x 1 510 510 16776 Sep 19 2002 sl
-rwx--x--x 1 510 510 67 Jul 30 2004 start.sh
-rwx--x--x 1 510 510 15195 Sep 3 2004 std
-rwx--x--x 1 510 510 8790 Jan 24 2006 stream
-rwx--x--x 1 510 510 7091 Jan 24 2006 tty
-rwx--x--x 1 510 510 71 Feb 18 2008 usr
-rwx--x--x 1 510 510 14841 Jul 23 2005 v2
-rwx--x--x 1 510 510 915 Mar 2 2005 x
8login:Penguin:2010/02/15(月) 10:22:58 ID:cVaZ3y0V
rootのcron設定が書き換えられてた
ntpサーバと同期する設定を仕込んでおいたのに・・・

[root@host .b]# crontab -l
[email protected]
9login:Penguin:2010/02/15(月) 10:35:44 ID:cVaZ3y0V
侵入経路は、ほぼ特定できました。
SSHやtelnetはFirewallによって遮断しているので、アクセス可能なHTTP(S)/FTP/SMTP/POP/サーバ管理ソフトのログを調査したところ、
Webベースの管理ソフトから、rootのcronを書き換えたログが残ってました

操作元のIPは、79.114.204.105 こいつもロシアのIP
10login:Penguin:2010/02/15(月) 11:20:11 ID:v96hRl2p
>>9
> Webベースの管理ソフトから、rootのcronを書き換えたログが残ってました

具体的には何?
webmin?
11login:Penguin:2010/02/15(月) 11:30:35 ID:JCuyjHv1
ブログでやれ。
12login:Penguin:2010/02/15(月) 12:57:55 ID:wBVDB0s+

> SSHやtelnetはFirewallによって遮断しているので、アクセス可能なHTTP(S)/FTP/SMTP/POP/サーバ管理ソフトのログを調査したところ、

もしかしてHTTP(S)/FTP/SMTP/POP全部開いてんの?
13login:Penguin:2010/02/15(月) 14:18:43 ID:YUOURW+i
あれだ
玄関の鍵は植木鉢の中にかくしてはいけない




で終了
14login:Penguin:2010/02/15(月) 14:25:40 ID:q8VYs7ji
つか、root権限奪われたんだろ?
普通、ログファイルは消すだろ?
なんで残ってんの? 変更されたんじゃねーの?

あとポートあけすぎだって。httpは多分ないが、
そんなんクラックしてください、って言ってるようなもの。
15login:Penguin:2010/02/15(月) 14:28:54 ID:emCqloK3
>あとポートあけすぎだって。httpは多分ないが、

どこをみてポート空け過ぎと判断?

>HTTP(S)/FTP/SMTP/POP/

これのこと?
16login:Penguin:2010/02/15(月) 15:38:25 ID:ZpRzlKP7
これかもよ
> SSHやtelnetはFirewallによって遮断しているので
14はポートを港かなんかと勘違いしてんじゃねーの
17login:Penguin:2010/02/15(月) 15:53:09 ID:emCqloK3
>>16
だねw
鯖の用途によっては別に開きすぎでもなんでもないと思うのがねぇ
(FTPに関してはそのまま平分でやりとりしてるのかは気になるが)

もし>>14が再登場出来るのなら説明して頂きたい。
勉強になりそう。
18login:Penguin:2010/02/15(月) 21:41:29 ID:xPTxJGQn
ネタだからさ・・・
19login:Penguin:2010/02/15(月) 21:43:21 ID:Lo5zkAWF
ssh一個だけでええやん
20login:Penguin:2010/02/15(月) 21:51:46 ID:EjHaC8hh
Apache使う以上、改竄されるのがデフォ。
21デムパゆんゆん@冬眠中越冬つばめ:2010/02/15(月) 22:11:15 ID:cc5aKzSI
ぐぐるマップでTimisoara Timisでぐぐったら
ルーマニアのTimisoara Timisじゃねーの レストランみたいだな
ttp://maps.google.com/maps?oe=utf-8&rls=org.mozilla:ja:official&client=firefox-a&um=1&ie=UTF-8&q=Timisoara,+Timis&fb=1&hq=Timis&hnear=Timisoara,&cid=0,0,6029442546680310597&ei=5EV5S8DhAYvg7AOsrsCnCA&sa=X&oi=local_result&ct=image&resnum=1&ved=0CAsQnwIwAA
22デムパゆんゆん@冬眠中越冬つばめ:2010/02/15(月) 22:13:50 ID:cc5aKzSI
79.114.204.0 through 79.114.204.255
ttp://www.corporationwiki.com/79.114.204.0/
23 ◆Zsh/ladOX. :2010/02/15(月) 22:15:48 ID:92DvBsDP
デムパのように調べろよw
だからクラックされるんだろw
24デムパゆんゆん@冬眠中越冬つばめ:2010/02/15(月) 22:39:41 ID:cc5aKzSI
George Enescu Universityが近くにある
学生のいたずらかのぅ
ログのアドレスが改ざんされてなければだがな
セントスならselinux onにしてtargetedポリシのままでもそれなりに効果ある
>アクセス可能なHTTP(S)/FTP/SMTP/POP/サーバ管理ソフト
何使ってるのか書いてないし釣りかの
25login:Penguin:2010/02/15(月) 22:43:26 ID:xPTxJGQn
そもそも、何のためのサーバなの?

鯖の塩焼き食おう。
26login:Penguin:2010/02/15(月) 22:47:53 ID:nYdiOMk9
ててて
27login:Penguin:2010/02/15(月) 22:53:06 ID:nYdiOMk9
webminってデフォルトで外から使えるようになってるんだっけ?
28login:Penguin:2010/02/15(月) 23:01:28 ID:EjHaC8hh
Linuxにはデフォでクラッキングツールがそろっている分、攻撃者に
とって使いやすい優良OSなんだよ。
Windowsなんか乗っ取ったって出来ることは限られているけど、Linuxなら
値千金。
Linuxはセキュアだと信じてる人も多いから防御も甘く楽に乗っ取れるし。
29login:Penguin:2010/02/15(月) 23:05:25 ID:EjHaC8hh
オープンプロキシの検索で出てくるのもほとんどがLinuxでしょ。
Linuxの裏社会に対する貢献度はオープンプロキシを見るだけで理解できる。
攻撃の自由、接続の自由、破壊の自由、こういった自由を実現してくれるのが
Linuxなんだよ。
30login:Penguin:2010/02/15(月) 23:19:55 ID:Rj/ZYGIT
だからなに?
31デムパゆんゆん@冬眠中越冬つばめ:2010/02/15(月) 23:22:27 ID:cc5aKzSI
>>27
イントラネットでなら使える
外に出てグローバルアドレスの時は知らん
snortだっけ 脆弱検知で探してアクセスしたんだろ
32login:Penguin:2010/02/15(月) 23:23:44 ID:nYdiOMk9
>>29
同意しかねるw
Webminやらftpが原因でシステムが乗っ取られるのは
rootや管理ポリシーがヘボだから
33login:Penguin:2010/02/15(月) 23:46:11 ID:nYdiOMk9
>>31
そうなるとWebminの拒否方法によるな
apache使ってたらWebmin乙だ
34login:Penguin:2010/02/15(月) 23:59:27 ID:IJCQpRZY
つか、そんなもん入れたまんまで外に晒してどうすんだよ…。
35login:Penguin:2010/02/16(火) 00:11:16 ID:TQ0r9hwU
外向けのサーバーでWebmin入れて管理してましたって言うならアホとしか
36login:Penguin:2010/02/16(火) 11:36:39 ID:UKu9n8JL
ものすごく単純な話で、お前らも2chに書き込めない時オープンプロキシ探して
使うだろ?
で、2chに書き込めるプロキシを探せるのが売りのサイトがあるけど、その手の
サイト自体Linuxで運用されてて頻繁にクラックされてるだろ。
クラックしたりされたりしながら自由を守るのがオープンソース文化なんだって。
オープンプロキシの場合は、クラックされてオープンになってるなら、それは
自由を守るためのクラックだろ。
書き込む自由な。
>>1の場合だって、クラック被害っていうけど逆に考えれば誰かの自由を守るための
貢献なんだよ。
たとえばウェブ改竄の踏み台にされてたなら、ウェブ改竄の自由を保障するために
貢献したってことよ。
FSF辺りから見れば表彰もんの立派な行いだろ。
自由を守るためにリソースを提供したんだから。
37login:Penguin:2010/02/16(火) 11:51:04 ID:f/Vq1QTP
すごい

納得しかけてしまった

どう反論したらいいんだろ。RMSならなんて同意するかな…
38login:Penguin:2010/02/16(火) 11:53:48 ID:gV0gKlL+
バカなのかおまえ。秋葉原の駅前でラッセンの絵とか買わされるなよ。
39login:Penguin:2010/02/16(火) 11:58:28 ID:5+e+vo5L
結局釣りスレだったな。
単独で建てているからそうだと予想できたが。
40login:Penguin:2010/02/16(火) 14:21:50 ID:Jl0Fnpcj
>>1
削除依頼出しといてね。
41login:Penguin:2010/02/16(火) 18:00:30 ID:O1oJYd1j
報告はまだか……。
42login:Penguin:2010/02/16(火) 20:03:53 ID:DD+4H9Z+

        /::::::::::::::::::::::::::::::::::::::::\
       /::::::::::::::::::::::::::::::::::::::::::::::::::::ヽ
      .(::(:::(::::/ ̄ ̄ ̄ ̄\::::::):::)::)
      (::(:::(:::)/・\  /・\(:::):::)::)
      .(::(:::(:::)  ̄ ̄    ̄ ̄ (:::):::)::)
      (::(:::(:::)   (||||人||||)  .(:::):::)::)
     .(::(:::(;;;)    \   |  .(;;;):::)::) 
      (::(:::(::::\    \_| /::::):::)::)
      (::/ ̄| ̄|\ ||||||| /| ̄| ̄\::)
      |    .〉 |人\_/入| 〈   |
      |  | .|  |  ヽ_/.  |  | |  |

         チッ・ウッセーナ[1988〜]

43login:Penguin:2010/02/17(水) 03:10:21 ID:qiJLD47q
ちょっと気になって調べてみたんだが、確かに/root/ /.b/があるな。
44login:Penguin:2010/02/17(水) 04:21:04 ID:7YkCejWR
>>43
なにそれなんでそんなきもいファイルがあるんだよ
45login:Penguin:2010/02/17(水) 04:56:02 ID:qiJLD47q
>>44
ディストリ自体に入っていたと思うんだがな。
端末からだとパッと見わからんからたちが悪い。
46login:Penguin:2010/02/17(水) 05:19:44 ID:7YkCejWR
>>45
サーバー選んでセットアップしてみたが
そんなもの存在しないんだが・・・

47login:Penguin:2010/02/17(水) 11:21:35 ID:uHhxOYuP
オレのマシンにも無いな
48login:Penguin
いやっほーい!