[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:02021] Re: ハニーポット関連書籍(Re: Re:ngSniff&ngHashCrack)

kawa です。

Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

> 平文でデータが流れていればパケットキャプチャで何してるかを
> それなりに確認できる場合もありますが、RPC とか SMB 経由での
> 操作はパケットからでは判断難しいですね。
> #というか私にはできない ;)
> #tcpflow Windows では動かない...というのは置いておくとして。

あ〜、そういう悩みはありますね。あと見た目は SSH で通信して
いるんだけど平文で通信してるような SSH もどきみたいなのも準
備できると良いなあとか。

> >ログも消さずにでていったかと思いきや、/usr 以下を丸々削除
> >していく奴もいました。次にはちあわせたら write で話し掛け
> >てみようかと思いますヽ(´ー`)ノ
> 
> IRC 鯖を立ててくれたら繋がってみる、とかでしょうかね :-D

それを狙って 6667 とかは Firewall で許可してます( ̄ー ̄)

> ところで、rootkit とか仕掛けていく奴いました?

ちょこちょこといらっしゃいました。/bin/login は既に3回くらい
置き換えられておりまして、rootkit をさらに rootkit で置き換え
るような感じで・・・。

気が付いたらユーザ"mail"がログインできるように設定が変更され
てまして、ちょっと驚きました(^^;。細かく見てたつもりなんです
が、実際にログインされるまでは検知できなかった(--;



かわぐち/kawa
kawakawa@xxxxxxxxxxx
今年もよろしくお願いします。