_ 某社さんに頼まれて、クラックされたというマシンをふにふに確認 してみたりする。とりあえず別サーバにミラーがあったんで、DNS は変更済み。……おかしい。そもそもファイルが全く改竄されて ない上に、進入の痕跡っぽいものがどこにもない。しかしながら、 実際にアクセスすると確かに改竄されたファイルがおちてくる。
で、ローカルからのアクセスだと改竄が入らないのと、 apache じゃないと改竄がおこらない、あと、いろいろ情報を あつめてると、他にも同様の現象が起こってるサーバがぽこぽこ ある様子。そしてそのサーバ群はみんな同じ某社のサブネット……。 某IRCのチャンネルでも相談してみて、結論としては、このサブネット、 ルータごと経路のっとられてね?
実際 arp がすごい勢いで書き換えられてました。 netstat や arp コマンドだとすぐ値が正常値に戻っててわからなかったんですが、 dmesg (/var/log/messages) をみるとゲートウェイのイーサネットアドレスが 変わったぞ警告で大変なことに……。
現時点では問題のマシンが隔離されたようで、状況自体は終了済み。 プロバイダさんのほうからは接続の障害があったというアナウンスは でてますが、セキュリティ的な被害がでてることについての言及は 現時点では無い模様。一応問い合わせ中で、某社さんサーバは最終的な アナウンスがでてから元に戻す予定、ってバージョンちょっと古いみたい だからそのへんもついでに後で対応かな^^;
そんなわけでえらいとばっちりでございました。
しかし、最初に /var/log/messages をみてれば一発で
GW乗っ取り系だとわかったはずなんですが、頭が
まわってませんでしたー!!! いやあ、常時さわってないとだめっすね。
arp の仕組みとかはさすがに覚えてますが、どうやってみるんだったっけ
とか一瞬悩みましたよ。
\
メールはこちらへ...[わたなべごう (go @(at) denpa .(dot) org)]
この日記は、GNSを使用して作成されています。