[connect24h:01626] Re: 状況と対応私案 (ver.22 41500)

[Satoshi Nagayasu <snaga@xxxxxxxxxxxxxxx>]

初めまして、永安と申します。

Keiji Takeda wrote:
> 武田です。

> >o SSH のバックドアの情報源は?
> 
> [blue:12656] Re: ＤＮＳのトラブル　　（すみません他MLですが、、。）
> 
> かな、、
> でも関連の事件かどうか確認できないし。
> これは未確認情報ですね。

該当の記事を投げた者です。
恐らく named-8.2.2 を介したクラックであると思われる中で、
ssh を用いてバックドアを仕掛けられていました。

通常、私のところでは ssh をコンパイルして /usr/local に入れるため、
/usr/bin/ssh2d というプロセスが走っていることは考えられません。
/bin/ps が入れ変えられていたため、普通に ps ax しただけでは
気がつかないと思います。port 45210 で走っていました。

改変されていない ps を用いてプロセスを発見し、
ssh2d が動いている時と動いていない時の netstat -a の結果を
diff して listen ポートを発見しました。

ちなみにバックドアsshは-qオプションを用いてログが残らないように
起動されていました。

ご参考まで。

-- 
NAGAYASU Satoshi <snaga@xxxxxxxxxxxxxxx>