朝八時前の電車に乗って、千葉市へ出張。
大宮へリターンしたのが、午後三時半頃。それから打合せに途中参加。
六時半頃に書類作成のため、一度打合せを中断。
八時半頃、打合せ終了。
明日のテストリリース@Sシステムにむけて動作確認。
十時頃、保守してるWebサーバ上に、何者かによってフィッシング詐欺用のファイルが仕掛けられている事が判明。
root権限でのrmで消せないファイル/ディレクトリって作れるんだね。方々調べて何とか消したけど。俺のハックスキルも大幅にアップした感じだぜ。
それから色々原因究明してみたが、なんかsyslogが正しく動いていない感じもするし、lsofしても何も出力されないし…lsofが書き換えられてる?とにもかくにも侵入経路が分からん。FTPやSSHはIP制限してるし、キーファイルが無いと認証されないし。
可能性がありそうなのは、WevDAVの認証を破って何かしらのCGIなりを仕込み、フィッシングページを配置した後、root権限を奪取して特殊属性を設定したか。
通常のログじゃ中々追えないし、Tripwireでも仕掛けておくしかないのかなぁ…。
そんなこんながあって、終電へダッシュ。
コメント