[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:01491] Re: Backdoor の対処メモ




いのうえです。

> 現時点ではNTが攻撃対象の中心となっているので、直接的には関係あり
> ませんが、噂で聞かれるDDoS攻撃用に攻略されたUN*X系サイトのために
> 、バックドア探しに関する簡単なメモを作成してみました。

他でも書いたのですが、RedHat 系のように rpm ベースでパッケージ管理してい
るディストリビューションは 'rpm -Va' で、インストール済みパッケージを 
MD5, ファイルサイズ, 修正時刻等の8種類の要素で検証できます。

少なくとも、「rootkit を rpm パッケージとしてインストールされておらず」
「rpm 関連のコマンドやデータベースの書き換えが行われていない」場合は
これで不正な書き換えが行われたコマンドをリストアップできます。


-- 
Kazuhiro Inoue <kazuhiro@xxxxxxxxxxxxx>