本 Blog サーバの調子がここ数日おかしい・・・ということで、本日大規模メンテナンスを実施しました。長時間つながらなかったかもしれません。申し訳ありませんでした。
様々な LOG をチェックしていると、root のヒストリに身に覚えのないコマンド実施の跡が・・・(汗)
なんと、何者かに侵入を許していたようです!! 10/27 あたりに何者かがログインした形跡がありました。SSH のポートはルータで止めてあるので、何かしらの脆弱性を利用して root 権限でコマンドを実行した様子。コマンド履歴を見ると、sshd を起動してルーティングテーブルに何か書き込みしてバックドアを開けようとした様子。でも残念ながら、SSH のポートはルータで閉じているのでアクセスできません♪
しかし、その他のコマンドとして、root のホームディレクトリを “rm -rf” したり、怪しいツールを仕込もうと3箇所ほどのサイトから何かを wget してインストール/実行した(しようとした)形跡がありました。そしてその結果、 phpmyadmin の config が書き換えられていました。でも、その config だと動かないけどね・・・
さらに、cron を書き換えて、1分毎に wget してきたツールを起動するように設定されていましたが、そのツールがうまくインストールされていなかったため、特に悪影響としては「重くなる」のと「不要な syslog が多量」な程度だったようです。
後は /usr/lib/.kde ってディレクトリが掘られており、怪しい exe ファイル(Windows 用らしい)と、なぜか Windows2000 の SP3 ファイルが置かれていました。意味わからん・・・
とりあえず改ざんされたりした形跡はなかったので、不要に作られたファイルや cron の設定を抹殺。System を最新状態にupdate し、念のため SSHD は起動しないように設定して(使うときだけ ON にする)、各種パスワードを変更しておきました。
大事に至ってないとは思いますが、なんだか不気味・・・残されたファイルの中の言葉にはポーランド語らしきものがチラホラ(google で調べた)。ネットの世界はやはり危険がイッパイですね・・・これからはちょくちょく syslog や authlog はチェックするようにします!!
