パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「クラックされたり!」「しからば、いざゆかん」」記事へのコメント

  • RPM系Linuxの場合 (スコア:2, 参考になる)

    by Anonymous Coward on 2004年05月31日 21時40分 (#560002)
    やるべきことで思いつくといえば、

    ネットワークの無効化
    # /etc/init.d/network stop

    ログを保存
    # tar zcvf /mnt/usb-hdd/log.tar.gz /var/log

    変なユーザを探す
    # who

    変なプロセスを探す
    # top

    バックグラウンドでrpm監査コマンドを実行
    # rpm -Va > /tmp/valid.txt 2> /dev/null &

    rpmの監査が終わるまでsyslogの中身を読む
    # lv /var/log/messages

    rpm監査コマンドの結果を見る
    # lv /tmp/valid.txt

    ほか何かある?
    • by Anonymous Coward on 2004年05月31日 22時04分 (#560037)
      正直、
      この程度で痕跡見つかる程度なら、たいしたことはないと思う。
      もちろんやるべきことではあるが。

      でも、まずはその前にchkrootkit。仕込んでればtripwire。
      信用できるソースから管理系コマンドを再インストール。
      侵入された後のホストのコマンドの出力なんて信じられるわけがない。
      親コメント
      • by Anonymous Coward
        > 正直、
        > この程度で痕跡見つかる程度なら、たいしたことはないと思う。
        > もちろんやるべきことではあるが。
        >
        > でも、まずはその前にchkrootkit。仕込んでればtripwire。
        > 信用できるソースから管理系コマンドを再インストール。
        > 侵入された後のホストのコマンドの出力なんて信じられるわけがない。

        そそ。本当にクラックされた確信したなら、即電源コード抜くべし。
        LANケーブルなんざ後
    • バックドア仕掛けられたシステムのpsとかwhoとか
      log関係は、あてにならないので、procを
      直接覗いて変な物動いてないか確認した
      良いんじゃないかと思います。
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
      • by Anonymous Coward on 2004年06月01日 15時28分 (#560538)
        別AC(#560249)も書いてるけど、
        カーネルレベルで仕込む事ができるんで、この方法でも、
        procfsを改竄されたら終わりですよ?

        調査するなら、ディスク外して別の安全なマシンでマウントするんでしょうけど
        シャットダウンすると消える証拠もあるし。

        次善の柵として、chkrootkit と基本コマンドをCDか何かで用意して実行、
        netstat や lsof も見て、
        詳細調査はディスクを外して、か。
        親コメント
    • by Anonymous Coward on 2004年06月01日 2時30分 (#560249)
      kernel level rootkitって知ってます?

      システムコールをトラップしてるのでps, topとかlsとか役に立ちません。ネットワークケーブルを抜くくらいでは不十分。電源ケーブル抜いて、クリーンなOSでディスクをマウントしてファイルが改竄/追加されてないかチェックしなければ意味がありません。

      kernel level rootkitどう作るか知りたい人はサンプルはネットで探してみて下さい。ありますから。
      親コメント
    • by sakamoto (8009) on 2004年06月01日 16時30分 (#560581) 日記
      # cat /etc/init.d/network
      echo
      # alias
      who='who | tail -n2'
      tar='rm -f'
      rpm='echo'
      # declare -f
      lv()
      {
      grep -v crack $* | /usr/bin/lv
      }
      # top はどうすればいいか考えよう。
      --
      -- 哀れな日本人専用(sorry Japanese only) --
      親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...