アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
RPM系Linuxの場合 (スコア:2, 参考になる)
ネットワークの無効化
# /etc/init.d/network stop
ログを保存
# tar zcvf /mnt/usb-hdd/log.tar.gz /var/log
変なユーザを探す
# who
変なプロセスを探す
# top
バックグラウンドでrpm監査コマンドを実行
# rpm -Va > /tmp/valid.txt 2> /dev/null &
rpmの監査が終わるまでsyslogの中身を読む
# lv /var/log/messages
rpm監査コマンドの結果を見る
# lv /tmp/valid.txt
ほか何かある?
Re:RPM系Linuxの場合 (スコア:2, 参考になる)
この程度で痕跡見つかる程度なら、たいしたことはないと思う。
もちろんやるべきことではあるが。
でも、まずはその前にchkrootkit。仕込んでればtripwire。
信用できるソースから管理系コマンドを再インストール。
侵入された後のホストのコマンドの出力なんて信じられるわけがない。
Re:RPM系Linuxの場合 (スコア:0)
> この程度で痕跡見つかる程度なら、たいしたことはないと思う。
> もちろんやるべきことではあるが。
>
> でも、まずはその前にchkrootkit。仕込んでればtripwire。
> 信用できるソースから管理系コマンドを再インストール。
> 侵入された後のホストのコマンドの出力なんて信じられるわけがない。
そそ。本当にクラックされた確信したなら、即電源コード抜くべし。
LANケーブルなんざ後
Re:RPM系Linuxの場合 (スコア:1)
log関係は、あてにならないので、procを
直接覗いて変な物動いてないか確認した
良いんじゃないかと思います。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:RPM系Linuxの場合 (スコア:1, 参考になる)
カーネルレベルで仕込む事ができるんで、この方法でも、
procfsを改竄されたら終わりですよ?
調査するなら、ディスク外して別の安全なマシンでマウントするんでしょうけど
シャットダウンすると消える証拠もあるし。
次善の柵として、chkrootkit と基本コマンドをCDか何かで用意して実行、
netstat や lsof も見て、
詳細調査はディスクを外して、か。
Re:RPM系Linuxの場合 (スコア:1, 参考になる)
システムコールをトラップしてるのでps, topとかlsとか役に立ちません。ネットワークケーブルを抜くくらいでは不十分。電源ケーブル抜いて、クリーンなOSでディスクをマウントしてファイルが改竄/追加されてないかチェックしなければ意味がありません。
kernel level rootkitどう作るか知りたい人はサンプルはネットで探してみて下さい。ありますから。
Re:RPM系Linuxの場合 (スコア:1)
echo
# alias
who='who | tail -n2'
tar='rm -f'
rpm='echo'
# declare -f
lv()
{
grep -v crack $* | /usr/bin/lv
}
# top はどうすればいいか考えよう。
-- 哀れな日本人専用(sorry Japanese only) --