アカウント名:
パスワード:
泣きべそ書きながらrsyncでルートキットを駆除しました
なぜまずいんですか?
第一に、他のマシン・サイトへ被害拡大を一刻も早く防がないとまずいです。それには、電源を切るか、ネットワークから切り離すのが一番早いです。DC内でワーム大繁殖、何てことになったら目も当てられません。未必の故意で損害賠償を請求されても仕方の無いケースだと思います。 第二に、rootkitを完全に排除しなければまずいです。Rootkitが組み込まれた疑いがあるのなら、そのOS上での調査結果は完全には信用できません。Rootkitは、システムコールを巧妙に書き換えて、ユーザから身を隠したままOS内に潜伏することが可能です。OSに組み込まれたrootkitを完全に排除する最も簡単で信頼性の高い方法は、OSを再インストールすることです。リモートから作業したので
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
実体験 (スコア:5, 参考になる)
DCに設置してもらってネットにつながってから色々作業しようと思ってました。
で、rootのパスワードに「123456」を設定してました。
メールで「ネットにつなぎましたよー」と連絡もらって、
さあ作業しようと思ったらログインできません。ぎゃふん。
東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。
ワームに犯された上、ルートキットを孕ませられてしまったので、
passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
泣きべそ書きながらrsyncでルートキットを駆除しました。
Re: (スコア:1)
Re: (スコア:-1, フレームのもと)
それに普通って誰の普通ですか?
Re: (スコア:5, 参考になる)
第一に、他のマシン・サイトへ被害拡大を一刻も早く防がないとまずいです。それには、電源を切るか、ネットワークから切り離すのが一番早いです。
DC内でワーム大繁殖、何てことになったら目も当てられません。未必の故意で損害賠償を請求されても仕方の無いケースだと思います。
第二に、rootkitを完全に排除しなければまずいです。Rootkitが組み込まれた疑いがあるのなら、そのOS上での調査結果は完全には信用できません。Rootkitは、システムコールを巧妙に書き換えて、ユーザから身を隠したままOS内に潜伏することが可能です。OSに組み込まれたrootkitを完全に排除する最も簡単で信頼性の高い方法は、OSを再インストールすることです。
リモートから作業したので
Re: (スコア:-1, フレームのもと)
私のサーバ1台だけを早急にネットワークから切り離さなければいけない理由がわかりません。
それに私のサーバが宿主だとしても、この場合は感染される方が悪いですよね?(トピックの主題的にも)
ワーム経由で仕組まれるルートキットなんてたかがしれてるし、
それらの検出は十分可能です。検出できないとしてもrsyncでファイルをすべて上書きすれば十分だと思います。
それで不十分だというなら、ウィルスにかかったPCもそのたびにWindowsを再インストールしなければなりません。
私はルートキットがなんなのか知っています。の上での対処です。
Re:実体験 (スコア:0)
今時のワームなら経路暗号化の上LKM引き込むのが常套手段だと思うけど?
受信したパケット全て解析の上、侵入したワームも全て確認済ならまあありか。
でも、再インストールの方が簡単確実のような。
> それらの検出は十分可能です。検出できないとしてもrsyncでファイルをすべて上書きすれば十分だと思います。
LKMでファイル読み書きフックされたら検出も書き換えも事実上不可能な気がする。