[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:3150] Re: ssh破られてしまいました

To: connect24h@xxxxxxxxxx
Subject: [connect24h:3150] Re: ssh破られてしまいました
From: DANNA <danna@xxxxxxxxxxx>
Date: Tue, 05 Mar 2002 11:37:09 +0900

ども。ダンナ＠サポセンです。

Tadashi Nakamura さん
> sshd への atack はどんなもんでしょうか。

ボクの身近でも数台がsshd経由でヤラれましたけど、いづれもログに
は分かりやすく証拠が残ってました。


http://online.securityfocus.com/archive/75/225503(incidents)に
ポストされていた解析資料のように

> Nov 1 18:48:10 victim sshd[9592]: fatal: Local: crc32
>        compensation attack: network attack detected 

このメッセージが延々と残ってました。該当するコンピュータには、
おそらくt0rnkit v6.66の亜種と思われるrootkitが組み込まれてま
した。と言いますのも、その時点でのchkrootkit-0.34では、rootkit
が検出されませんでした。でも/usrの下にはそれらしきディレクトリ
が見つかりました。時間が無かったので詳しく調査できなかったのが
残念ですが、いまから考えてみるとt0rnkit v8にディレクトリ構成が
似てたような気がします。

あと、最近はbobkitが流行ってるみたいですね。

http://www.stearns.org/detectlib/bobkit.html

>--------- みっきーのネットワーク研究所 ---------<
>  DANNA @ SAPOSEN                               <
>  MAIL : danna@xxxxxxxxxxx                      <
>  HP   : http://www.hawkeye.ac/micky            <
>  PGP  : http://www.hawkeye.ac/micky/micky.pub  <
>------------------------------------------------<


--[PR]------------------------------------------------------------------
色々なジャンルの新商品・新発売情報が盛り沢山！【新発売ｎａｖｉ】
 http://ad.freeml.com/cgi-bin/ad.cgi?id=aLgin
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

Follow-Ups:
- [connect24h:3151] Re: ssh破られてしまいました
  - From: KOJIMA Hajime / 小島肇
- [connect24h:3161] Re: ssh破られてしまいました
  - From: Tadashi Nakamura

References:
- [connect24h:3148] Re: ssh破られてしまいました
  - From: oshu
- [connect24h:3149] Re: ssh破られてしまいました
  - From: Tadashi Nakamura

Prev by Date: [connect24h:3149] Re: ssh破られてしまいました
Next by Date: [connect24h:3151] Re: ssh破られてしまいました
Previous by thread: [connect24h:3149] Re: ssh破られてしまいました
Next by thread: [connect24h:3151] Re: ssh破られてしまいました
Index(es):
- Date
- Thread