[port139ml:03889] Re: Forensic しそこね

["MURANAKA,Tomohiro" <monkey@xxxxxxxxx>]

村中です。

On Fri, Aug 08, 2003 at 11:55:37AM +0900, kawa wrote:
> kawa です。
> 質問なんですが
> > 会社のDMZにおいてあった、Redhat 7.2なマシンに不正侵入を許してしまいました
> 不正侵入されたと判断した決め手はなんだったんでしょう(^^;
> 怪しいところから SSH でログインされていたんでしょうか。

まぁ、とある日から、daily reportが届かなくなっていたので、
なんじゃらほい?とマシンにloginしたら、awkとかddとかmvとかcpとか
いろいろいっぱい(15個ぐらい)のコマンドが「なんじゃらほい?とloginした日」の
ファイルタイムスタンプになってました…
その日始めてloginしたのに、その日のタイムスタンプなんて怪しすぎます。
んで、こりゃやられてしまったなと…

> > #2003/01から各種アップデートしてなかった私が一番悪いのですが…
> 今年の脆弱性でリモートから入れるのって samba か sendmail ですかねえ。
> OpenSSL は去年だし。。。

sendmailはステステにして他のMTA使ってるし、
sambaなんか外から叩ける様な無様なことはしてないし…
まったくもって、侵入ルートがわからん状態。
現状保存できなかったのが痛いなぁ(;;

-- 
ダメ猿％村中 智祐＠(自宅|会社|外出先)  mailto: monkey@xxxxxxxxx
                                       http://www.tfg.ne.jp/~monkey/
PGP fingerprint = BC1B AE92 A903 8092 45F3  69D4 8DE1 70AE 472F 750B