[connect24h:01498] Re: Backdoor の対処メモ

[kiDs <ml@xxxxxxx>]

kiDsです。なかなかPOSTされないな、と思ってたら、Fromが違ってたようで、とっく 
に戻ってきてた。
すでに、ちょっと話的には遅いのかもしれませんが、せっかくなので。

さて、Backdoorの対処法なんですが、思ったことをちょっと書いときます。


まず、あれですね、他のマシンから疑惑のマシンにポートスキャンすると良いでしょう。
自分の空けたポート以外が開いていたら要注意です。
スキャンするときなんですが、nmapとかだったら -p 1-65534とか付けるのを忘れない
ようにしましょう。要は、全ポートを徹底的に、です。
あとTCPだけでなくUDPもチェックすることです。UDPなバックドア開けるものも結構あ
りますから。
あいてたら、netcatでつないで見るのも良しです。TCP、UDPともに使えます。
但し、NT用のはUDPがいまいちだった記憶が（確かではない）あります..
ただし、sshとか、事前に空けておいたものが入れ替えられていることもあるので
信憑性は絶対ではないです。

疑惑のマシンではコマンドはフロッピー等に別に用意したもの以外は”絶対”
使ってはいけません。
普通に実行パスが通っているとこのもの（/bin/とか/sbin/とかね。）はとてつもなく
信用できません。
絶対に使わないようにしましょう。


このときnetstatで各種オプションをつけたもの、及び、ps、topとかそこらへんのリ
アルタイムの状況を教えてくれるコマンドを実行して
その実行結果を保存したら、とりあえず、電源を落とします。（procとかも見とくと
なんかいい事ある可能性大です。）


さて、そのあとは、疑惑のマシンと全く同じ構成のハードディスクを用意してそこか
らブートします。
そんでもって、疑惑のマシンのハードディスクをどっかに適当にマウントしまして、
あとは較べまくるわけです。
とうぜん、findなコマンドもオプションつけまくりでがんばります。
もっとも日付、ファイルサイズが信用おけるか？と言われると、痛いですけど。

犯人がcore吐いてたりとかする可能性もあります。お見逃しなく。

あとはみなさん書いているとおりです。

netcatはとても有用なツールですんで、使った事ない人はぜひ、お勧めします。
（最近はファイルのやり取りもこれ使ったりしてます）