[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:02038] bind-8.2.2.p5 落とされました( Re: トロイ発見!!)

  皆様へ                             
 いつもお仕事ご苦労さまですね。でも時にはちょっと一息。
  そんな時、心温まる一時をお贈りします。 
 大切なあの人にも、オススメです。
         http://www.kadan.ne.jp/bn.cgi?info01 
------------------------------------------------------------------------


小野@彩の国 です。

FreeBSD 3.5 付属の bind-8.2.2.p5 落とされました。侵入はなさそうです。

2月28日に FreeBSD(98) 3.5R-Rev01 の bind-8.2.2.p5 が落ちました。
| -rw-------  1 root  wheel  1155072 Feb 28 12:43 named.core

それ以前にも1〜2度落ちていたのでログを記録していました。
--- log ---
IP/TCP connection from [207.151.97.21].1454 (fd 7)
evDeselectFD(fd 7, mask 0x1)
evSelectFD(ctx 0x8115000, fd 7, mask 0x1, func 0x807f7c8, uap 0x8106044)
IP/TCP connection from [207.151.97.21].1690 (fd 7)
datagram from [207.151.97.21].2679, fd 20, len 23
FORMERR IQuery message length off
ns_req: answer -> [207.151.97.21].2679 fd=20 id=43981 size=632 rc=1
datagram from [207.151.97.21].2679, fd 20, len 509
ns_req: TSIG verify failed - unknown key .
ns_req: answer -> [207.151.97.21].2679 fd=20 id=43981 size=533 rc=0
--- ここまででお亡くなりになった様です ---

同時刻にルーターのアクセス拒否のログがあります。
2001/02/28 12:42:43 rx filtered TCP from 207.151.97.21/1452 to 10.x.206.129/53
2001/02/28 12:42:43 rx filtered TCP from 207.151.97.21/1455 to 10.x.206.132/53
2001/02/28 12:42:43 rx filtered TCP from 207.151.97.21/1458 to 10.x.206.135/53
2001/02/28 12:42:43 rx filtered TCP from 207.151.97.21/1461 to 10.x.206.138/53
2001/02/28 12:42:43 rx filtered TCP from 207.151.97.21/1463 to 10.x.206.142/53
2001/02/28 12:42:44 rx filtered TCP from 207.151.97.21/1466 to 10.x.206.143/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1451 to 10.x.206.128/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1452 to 10.x.206.129/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1455 to 10.x.206.132/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1457 to 10.x.206.134/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1458 to 10.x.206.135/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1464 to 10.x.206.141/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1461 to 10.x.206.138/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1462 to 10.x.206.139/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1456 to 10.x.206.133/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1459 to 10.x.206.136/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1460 to 10.x.206.137/53
2001/02/28 12:42:46 rx filtered TCP from 207.151.97.21/1463 to 10.x.206.142/53
2001/02/28 12:42:47 rx filtered TCP from 207.151.97.21/1466 to 10.x.206.143/53

落とされたサーバーの他に bind-8.2.1 が稼動していましたが、
こちらは落ちなかった様です。落ちなかったとはいえ、侵入されているのかも
知れない所が気持が悪いのですが、取りあえず怪しいファイルは見つかって
いません。

対策として、まずは bind-8.2.3-REL への入れ替えとパスワードの
変更を行っています。今後 HDD をフォーマットしてOSからバージョンアップ
するつもりでいます。

落とされたサーバーはフォーマットしてしまったので /etc/namedb/ の ls くらいが
telnet のログに残っている程度です。

FreeBSD 3.x  への bind-8.2.3-REL は、ports からのインストールが
うまくいかず、
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/net/bind-8.2.3.tgz
からのインストールでやっと成功しました。

---
Sadao Ono