[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00986] クラッカー注意報
- To: SecurityTalk <security-talk@xxxxxxxxxxxxxxxxxxxx>
- Subject: [stalk:00986] クラッカー注意報
- From: MICKY <micky@xxxxxxxxx>
- Date: Wed, 14 Nov 2001 12:40:36 +0900
犬のみっきーです。
JPCERTで流れていた sshのセキュリティホールを狙った攻撃に関して、おそら
く、ほぼ同じ現象が観測されましたので、報告しておきます。
これに関するanalysis reportがincident@securityfocusで報告されてました。
http://www.securityfocus.com/archive/75/225503
細かい部分、例えば backdoor port などは異なりますが、ほぼ同じ手法による
ものと思われます。
ボクのところでは、攻撃を受けたホスト上の 19358/tcp で ssh の backdoor
がリスンしてました。また syslog に対して、sshd が盛大にログを吐くので、
攻撃を受けたサイトは直ぐに気がつくことでしょう。
# nc xxx.xxx.xxx.77 19358
SSH-1.5-1.2.27
これらは snort-1.8.2 に付属する rules により検出できましたが、1.8.1で
はダメそうです。
脆弱性を持つ ssh は早めにアップデートしましょう。
お気をつけあれ。わん。
>----- みっきーのネットワーク研究所 ------------<
> http://www.hawkeye.ac/micky <
> 所長:犬のみっきー <micky@xxxxxxxxx> <
> pgp : http://www.hawkeye.ac/micky/micky.pub <
>-----------------------------------------------<
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
★ ココで待ってます!
http://map.infoseek.co.jp/j.asp?u=WZHMYJPW&svx=971122