アカウント名:
パスワード:
泣きべそ書きながらrsyncでルートキットを駆除しました
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
実体験 (スコア:5, 参考になる)
DCに設置してもらってネットにつながってから色々作業しようと思ってました。
で、rootのパスワードに「123456」を設定してました。
メールで「ネットにつなぎましたよー」と連絡もらって、
さあ作業しようと思ったらログインできません。ぎゃふん。
東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。
ワームに犯された上、ルートキットを孕ませられてしまったので、
passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
泣きべそ書きながらrsyncでルートキットを駆除しました。
Re: (スコア:1)
フォレンジック (スコア:0)
>普通、即ネットワークから切り離し、再インストールでしょう?
も完璧とは言えませんな。
「普通」のレベルにもよるかもしれませんけど、フォレンジックをやらないで
再インストールしちゃうのは原因特定や再発防止、犯人特定を不可能にしちゃうので
「インドで野良犬に噛まれても、唾付けときゃ治る」程度の療法でしょう。
今回の場合、安易なパスワードが攻略された可能性が高いではありますが、
その結果、何が仕掛けられ、どのような攻撃をどの範囲に行うのかくらいは
調べるべきでしょう。
徹底的に調べたうえで再インストールしなきゃ。
Windowsの場合、原因となった脆弱性の修正(WindowsUpdate)がされて再発が
防止されることもありますが、へっぽこLinux管理者の場合、原因も特定せずに
気づいた怪しいファイルだけ削除して復旧としたり、同じ状態で再インストール
して、またやられることを繰り返すパターンが結構あります。
Re:フォレンジック (スコア:0)
主張はごもっともだが、この件は再インストールでいいんでは。
原因ははっきりしているのだし。
Re: (スコア:0)
ごめんなさい