- ベストアンサー
不正侵入
サーバに一般ユーザで不正侵入されてしまいました。 パスワードが甘かったです。 homeディレクトリを調べてみると、隠しフォルダが 作成されているのに気づきました。 後、ポートの56000が[httpd]によって開かれていました。 該当プロセスをkillし、作成されたディレクトリを 削除しました。 仕込まれたプログラムはバックドアみたいなものなのですかね。 ちょっと気になったので質問しました。 隠しディレクトリの内容 ─secure └─kop │ [httpd] │ MHTcars.usr │ MHT3cars.usr │ MHT2cars.usr │ mech.set │ mech.session │ mech.pid │ mech.levels │ mech.help │ initg │ └─randfiles randversions.e randsignoff.e randsay.e randpickup.e randnicks.e randkicks.e randinsult.e randaway.e
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
一般的なrootkitが仕掛けられています。 56000ポートはバックドアです。 基本的なコマンド、ログなど書き換えられている可能性が高いです。 KNOPPIXなどCDブートLinuxでデータを退避させた上、 再インストールしましょう。 どうしても再インストールできないシステムであれば、 RPM系ディストリビューションの場合、 # rpm -Va でRPMデータベースとハッシュ値を照合します。 もしも、何か書き換えらていた場合、パッケージを強制的に書き換えます。 # rpm --force -ihv パッケージ名 *完全に除去できる手順ではありません。
その他の回答 (1)
- qaaq
- ベストアンサー率36% (146/404)
ファイルの中は見てみましたか? 参考URLに同じファイル名がありますが、 本気でシステムクラックを企んだかも知れないですね。 昨今の良い対処としては、 ・全DISKの内容を別媒体に退避。 ・OS&全アプリケーションの再インストール。 ・退避した媒体から、必要なファイルを内容確認の上、書き戻し。 ・別媒体の内容調査。 なんじゃないかな? find / -user [侵入されたユーザ名] -print 変なものが出てきたら”たぶんアタリ”です。
お礼
教えていただいたとおり find / -user [侵入されたユーザ名] -print を 実行してみました。 幸い怪しいファイルはありませんでした。 サーバのセキュリティを見直してみます。 ありがとうございました。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_3_thumbnail_img_sm.png)
お礼
はやり、バックドアでしたか。 chkrootkitをつかってチェックしてみたところ 書き換えられた形跡などは出ませんでした。 でも、ちょっと不安な気もします。 再インストールはちょっときついので、RPMデータベースとハッシュ値をチェックしてみます。 ありがとうございました。