PGはルーマニアで○年修行しましたって言えばいいのかなぁ・・・。

修行っつってもハックとかクラック技術だけどさ。

あるサーバからのパケット通信が尋常じゃなく、トラフィックがえらい事になっていて、

サーバ提供会社から「何とかして下さい」というお達しが来ていた。

勿論、心当たりは無い。

ログイン履歴を見てみると、普段絶対にログインしないようなユーザでログインされていた。

怪しいと思って調べてみると、cronに変なタスクが設定されていた。

そのユーザのパスワードは容易に予測できるようなもので、

勝手にログインされても仕方が無いような感じだった。

とりあえずcronタスクを削除、一分置きのタスクにしてやがった。

生意気にディレクトリ偽装を施しており、削除とかがちょっと面倒くさい。

指定されていたパスはy2kupdateというもの。

hosts.allow/denyでsshdに縛りを入れて（問題ないなら最初から縛っとけよ）、とりあえず応急処置。

tcpdumpを見てみると特定のipにやたらと通信を掛けている。

これが収まればひと段落と言う事なのか？

と言う訳で、プロセスを調べてみると存在しないディレクトリのhttpdが動いており、

wwwでよく分からないperlスクリプトの起動もあった。

サムライの魂で容赦なく全てキル、httpdも優美且つしとやかに。

しばらく待つと、tcpdumpの内容が通常の状態っぽくなった。

当面の問題は解決した、とりあえず様子を見る事にしようか。

cronで指定されていたパスは存在せず、結局wwwで実行されていたPerlスクリプトも存在しない。

sshでのログインは既にipで縛ってあるので、残りの懸念はブラウザ経由でスパムのトリガーが実行される事だ。

後々、残された怪しいファイルを見てみると（ご丁寧にログとかも残してる）、

ルーマニア語で「ハッカーは夢、ハッキングは悪夢」みたいな事が書かれてあった。

今回やらかした内容は存外生易しいものだったので、丁度いい警鐘になった。

少なくとも不正アクセス等の類は必要悪だ。

さて、これ以上やる義理も無いし、とりあえず帰るかぁ。