[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:02044] Re: bind-8.2.2.p5 落とされました( Re: トロイ発見!!)
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:02044] Re: bind-8.2.2.p5 落とされました( Re: トロイ発見!!)
- From: DANNA <danna@xxxxxxxxxxx>
- Date: Fri, 09 Mar 2001 08:42:07 +0900
kirei 『ねぇ、見た?このサイト』
suteki 『これでしょう!いいよね♪』
http://www.kadan.ne.jp/bn.cgi?info02
kantan 『お、いいね。早速使おうっと!』
------------------------------------------------------------------------
ダンナ@サポセンです。
[connect24h:02038] bind-8.2.2.p5 落とされました
> IP/TCP connection from [207.151.97.21].1454 (fd 7)
> evDeselectFD(fd 7, mask 0x1)
このアドレスレンジとは関係ないのですが、昨夜未明にまた今回の
H.U.Cで公開されていたのと同タイプのTSIG Exploitと思われるシグ
ネチャを3回検出しました。
> [ALERT] bind tsig exploit attempt
> 2001-03-09 00:31:39 62.154.140.3 xxx.xxx.21.210 UDP
> Keitgen Multimedia Agentur GmbH
まだまだ予断は許せませんねぇ。
> 落とされたサーバーはフォーマットしてしまったので /etc/namedb/
> の ls くらいが telnet のログに残っている程度です。
以前行った検証では、exploitを撃たれた事に関するnamed関係のロ
グが残っていなかったので、実際に攻撃を受け入れてしまったかは
chkrootkitやシステムを丹念に調べるしか方法が無さそうです。
+-----------------------------------------+
+ DANNA @ SAPOSEN
+ e-mail : danna@xxxxxxxxxxx
+ web site : http://www.hawkeye.ac/micky
+-----------------------------------------+