[stalk:00524] Re: バックドアの隠し場所

[Yuji Tateizumi <tate@xxxxxxxxxxxxxx>]

舘泉＠東京高専です。

>とすれば、どこ or どのように隠しますか？」

以前に実際にやられた例ですが、以下の手順でした。

１．日曜日の夜中（正確には月曜日の明け方）に小さなシェルスクリプトを
　　送り込む。
２．telnetd を止める。
３．機種、ＯＳのバージョン等を調べて（当時は Solaris2.5.1だったかな？）
　　それに対応した版のツール群を落としてくる。（/var/tmp に）
４．ls、ps、find 等を置き換えて検索できないようにする。（ツールの中に、
　　これらのソースとＣコンパイラのバイナリ、ライブラリなどが含まれてい
　　ました。タイムスタンプもオリジナルに合わせていました。）
５．ポートスキャンなど、目的の悪さを実行する。（レポートをftpで送る）
６．/var/tmp や /var/adm/messages などのお掃除。
７．telnetd を動かす。（ls、ps、find 等はそのまま）

運良く（悪く？）、途中でハングアップしてしまったようで、未遂に終わりま
したが、侵入検知などせず、システムの改竄もチェックしていなければ（上記
の時は Solaris の aset で見つけましたが）、やられたこと自体全く気付か
ない場合もあるかも知れませんね。

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　 インフォシーク株価に新機能登場！！【銘柄条件検索】ってなにもの？？　
  http://stock.infoseek.co.jp/Stock?pg=stock_top.html&sv=ST&svx=971122