シェフがイタリアで○年修行しましたって言うのなら・・・
PGはルーマニアで○年修行しましたって言えばいいのかなぁ・・・。
修行っつってもハックとかクラック技術だけどさ。
あるサーバからのパケット通信が尋常じゃなく、トラフィックがえらい事になっていて、
サーバ提供会社から「何とかして下さい」というお達しが来ていた。
勿論、心当たりは無い。
ログイン履歴を見てみると、普段絶対にログインしないようなユーザでログインされていた。
怪しいと思って調べてみると、cronに変なタスクが設定されていた。
そのユーザのパスワードは容易に予測できるようなもので、
勝手にログインされても仕方が無いような感じだった。
とりあえずcronタスクを削除、一分置きのタスクにしてやがった。
生意気にディレクトリ偽装を施しており、削除とかがちょっと面倒くさい。
指定されていたパスはy2kupdateというもの。
hosts.allow/denyでsshdに縛りを入れて(問題ないなら最初から縛っとけよ)、とりあえず応急処置。
tcpdumpを見てみると特定のipにやたらと通信を掛けている。
これが収まればひと段落と言う事なのか?
と言う訳で、プロセスを調べてみると存在しないディレクトリのhttpdが動いており、
サムライの魂で容赦なく全てキル、httpdも優美且つしとやかに。
しばらく待つと、tcpdumpの内容が通常の状態っぽくなった。
当面の問題は解決した、とりあえず様子を見る事にしようか。
cronで指定されていたパスは存在せず、結局wwwで実行されていたPerlスクリプトも存在しない。
sshでのログインは既にipで縛ってあるので、残りの懸念はブラウザ経由でスパムのトリガーが実行される事だ。
後々、残された怪しいファイルを見てみると(ご丁寧にログとかも残してる)、
ルーマニア語で「ハッカーは夢、ハッキングは悪夢」みたいな事が書かれてあった。
今回やらかした内容は存外生易しいものだったので、丁度いい警鐘になった。
少なくとも不正アクセス等の類は必要悪だ。
さて、これ以上やる義理も無いし、とりあえず帰るかぁ。