アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
RPM系Linuxの場合 (スコア:2, 参考になる)
ネットワークの無効化
# /etc/init.d/network stop
ログを保存
# tar zcvf /mnt/usb-hdd/log.tar.gz /var/log
変なユーザを探す
# who
変なプロセスを探す
# top
バックグラウンドでrpm監査コマンドを実行
# rpm -Va > /tmp/valid.txt 2> /dev/null &
rpmの監査が終わるまでsyslogの中身を読む
# lv /v
Re:RPM系Linuxの場合 (スコア:2, 参考になる)
この程度で痕跡見つかる程度なら、たいしたことはないと思う。
もちろんやるべきことではあるが。
でも、まずはその前にchkrootkit。仕込んでればtripwire。
信用できるソースから管理系コマンドを再インストール。
侵入された後のホストのコマンドの出力なんて信じられるわけがない。
Re:RPM系Linuxの場合 (スコア:0)
> この程度で痕跡見つかる程度なら、たいしたことはないと思う。
> もちろんやるべきことではあるが。
>
> でも、まずはその前にchkrootkit。仕込んでればtripwire。
> 信用できるソースから管理系コマンドを再インストール。
> 侵入された後のホストのコマンドの出力なんて信じられるわけがない。
そそ。本当にクラックされた確信したなら、即電源コード抜くべし。
LANケーブルなんざ後回し。
shutdownコマンドすら書き換えられてる可能性あるからね。
で、同種のOS入れた別ディスク用意して、そいつからbootしたOSに
マウントして調査。
#最近お客のサーバが次々クラックされているデータセンター勤務者。
#でも、ここにアカウント無いからAC。