知人より,「linuxで構築したシステムに侵入された,助けてくれ」という知らせを受け,調査.
安全な作業用コマンドを用意.
作業ディレクトリを用意して,必要そうな rpm を片っ端から展開
$ rpm2cpio coreutils.rpm | cpio -id
PATHとかLD_LIBARY_PATHを作業用コマンドに合わせて,汚染されていないコマンドで調査を開始した
被害状況
- 明らかに root 権限が取られてる
- sshd を改竄されていた.
- ftpd を新規インストールしてくれてた.
- eth0 が promisc モード,つまりパケットの盗聴モードになっていた.
- ls とか rm とか ps など,大抵のコマンドは,改竄されていた.
- pam.d 以下の認証回りのプラグインも改竄.
- /bin/ps など改善されたファイルは,削除できなくなっていた.
$ strace -o logfile rm /bin/ps
などとすると, unlink システムコールが失敗していた. 芸が細かいというか何と言うか. chattr で IMMUTABLE属性を付加していた.
どうも,仕組みとしては,/etc/init.d/atd とか /etc/init.d/sshd から 各種パケット盗聴用デーモンを起動するみたい./usr/local/games/ 以下に sendmail とか ident が置いてあり,さらに パケットの盗聴結果のログファイルまであった.