パスワードを忘れた? アカウント作成
この議論は、hoihoi-p (5571)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。

rkhunter の警告 其の3」記事へのコメント

  • 6時間もかかりましたか...
    ついでに言うと、インストールされたパッケージに含まれないファイル、というのも抽出できます。(パッケージ数が多いとこれも*かなり*時間がかかります & もしかしたら日本語ファイル名に対応していないかも)
    find / -type f -exec echo "\"{}\"" \;| xargs -n 1 rpm -qf | awk '/^file/ {print $2}' > unpackaged.txt
    これでリストされるファイルは、パッケージリポジトリに無いファイルで、パッケージインストール時に自動的に作成されたか自分で作った、あるいは「意図しない)」(誰かが仕込んだ?)ファイルです。このファイルの中から、明らかに無害なファイルを除いていけば、怪しいファイルを絞り込むことができます。
    もちろん、find などのこの一連のコマンド群やカーネルが「改ざん」されていないことが前提となりますから、前回の reinstall 直後にネットワークケーブルを抜いてから実行するのが正しいやり方となります。
    まぁ、それを自動化してくれるのが tripwire などのファイル改ざん検出ソフトウェアなんでしょうが...

    ちなみに、外部に公開するサーバとしてはかなりパッケージが多いような気がしますが、どのような用途のサーバなんでしょう?

    --
    ん? 俺、今何か言った?
    • お世話になっております。

      >ちなみに、外部に公開するサーバとしてはかなりパッケージが多いような気がしますが
      おっしゃる通りです。

      本来は、会社で運用してたサイトの実験のため、グローバルを2個もらって、双方向SSL認証とかアプリケーションサーバのお勉強をしてました。ITの会社にも勤めてましたね。7ヶ月位。「あやぽん」と言ったらご存知ですか? ハハハ。
      パーキンソンが悪化してマシン室で転んで、サーバ落としてしまってクビになりました。

      それで、自宅サーバは必要無くなったんですが、長男が大学に入るとき情報工学の分野を選択したもんで、C、Java等の開発環境をガンガン載せたのが増えた原因です。

      今回の件でパケットキャプチャしたら「複数のサイトにrsync」されてました。ショックでした。あ−ぁ。
      Snort等でガンガン叩き潰してたりしたんですが、今は昔。薬と病気で思考力がない。
      今はDDNSのツールも起動してませんが、残骸というか、tar玉は保存してあるので、どこかで動いてるのかな・・・。パケットログにはその形跡はありません。

      rsync先はフランス。物理的にどこにあるかは分かりませんが、中国、韓国、他、東アジア一帯をまるごと塞いだときは感激するほど悪戯が無くなったのになー。

      未だ光見えず。
      お世話になります。(おいおい・・・)

      --
      hoihoi-p  得意淡然、失意泰然。
      親コメント
    • > find / -type f -exec echo "\"{}\"" \;| xargs -n 1 rpm -qf | awk '/^file/ {print $2}' > unpackaged.txt
      やってみました。10時間経って終わらず。ハハハ。
      子供から「いつになったら終わる?」と言われて、やむなく中止しました。

      >外部に公開するサーバ
      今はAtermの内側です。サービスしてません。純粋にデスクトップ用途です。

      --
      hoihoi-p  得意淡然、失意泰然。
      親コメント
      • 今はAtermの内側です。サービスしてません。純粋にデスクトップ用途です。

        うむむ、ルータの内側ですか?LAN は 192.168... ですよね? ということは LAN にする以前に何か仕込まれている可能性がありますね...

        ぶっちゃけ、いろいろ思い悩むよりクリーンインストールしたほうが早い、と思います。アップグレードだと仕込まれたファイルは消せませんし。その後は(外部にサービスしない、という前提で)ルータ側でパケットフィルタリング、と。

        --
        ん? 俺、今何か言った?
        親コメント
        • >うむむ、ルータの内側ですか?LAN は 192.168... ですよね?
          そうです。

          >ぶっちゃけ、いろいろ思い悩むよりクリーンインストールしたほうが早い、と思います。
          おっしゃる通り。

          rsync されてるので iptables で塞ぐと、翌日には別のアドレスから来てたり、もぐら叩き。
          rsync は xinetd.d 経由ですが「disable = yes」。持って行ってるだけで、書き込みしてる訳じゃない様な。
          一度パッケージを消したんですが、バックアップツールが依存してる。

          諦めよう。クリーンインストール。しょうがない。でも悔しい。
          でも、ポリシー変えないと同じ事。

          いや、仕込まれたツールは破棄できる。最優先ですね。
          有難うございました。

          --
          hoihoi-p  得意淡然、失意泰然。
          親コメント

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...