[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:01487] Re: Backdoor の対処メモ
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:01487] Re: Backdoor の対処メモ
- From: hama <hamamoto@xxxxxxxxxxx>
- Date: Wed, 21 Feb 2001 16:54:41 +0900
はまもとです。
本業が忙しくて反応できなくてすいません。
On Wed, 21 Feb 2001 16:13:40 +0900
DANNA <danna@xxxxxxxxxxx> wrote:
> ダンナ@サポセンです。
>
> 現時点ではNTが攻撃対象の中心となっているので、直接的には関係あり
> ませんが、噂で聞かれるDDoS攻撃用に攻略されたUN*X系サイトのために
> 、バックドア探しに関する簡単なメモを作成してみました。
>
> # 常に改訂中です。アドバイス求む。
>
> http://www.hawkeye.ac/micky/network/backdoor.html
findの事例を入れてみてはどうでしょうか?
・怪しいファイル、ディレクトリを探す。
find / -name foo -print
find / -name bar -print
・「.」の突いたディレクトリ、ファイルを探す。
find / -name '..'* -print
find / -name '.'* -print
・sビットの立ったファイルを探す。
find / -user root -perm -4000 -ls
・過去30日に変更されたファイルを探す。(7日、3日でも見てみる)
find / -mtime 30
見つかったファイルが/dev や異様に深いディレクトリにあるなど、明らかにあ
るはずのないディレクトリにあったら要注意。/tmp の下もチェックしたほうが
良い。
+---------------------------------------------------------------------
| はまもと
| ■常時接続の宴(インターネット常時接続ニュースサイト)
| http://www.hicat.ne.jp/home/hamamoto/
| ■24 時間常時接続メーリングリスト開催中
| http://www.hicat.ne.jp/home/hamamoto/ml/connect24h.html
+----------------------------------------------------------------------