ネットワークインターフェースの故障(3)

先日からのネットワーク障害の原因がわかりました。
どうやら、Flooding Attack攻撃用ツールが仕込まれていたようです。
-rwxr-xr-x 1 apache apache 74 4月 28 23:17 1
-rw-r–r– 1 apache apache 739 4月 28 23:17 FlooD.seen
-rwxr-xr-x 1 apache apache 319 2月 22 2009 autorun
-rwxr-xr-x 1 apache apache 8922 1月 24 2006 b
-rwxr-xr-x 1 apache apache 19557 5月 10 2005 b2
-rwxr-xr-x 1 apache apache 266463 5月 10 2005 bang.txt
-rw-r–r– 1 apache apache 42 4月 22 17:57 cron.d
-rwxr-xr-x 1 apache apache 8687 1月 24 2006 f
-rwxr-xr-x 1 apache apache 14679 11月 3 2005 f4
-rw-r–r– 1 apache apache 9 4月 22 17:57 fl.dir
-rwxr-xr-x 1 apache apache 81 8月 17 2006 fwd
-rwxr-xr-x 1 apache apache 152108 6月 1 2001 httpd
-rwxr-xr-x 1 apache apache 10848 5月 30 2005 j
-rwxr-xr-x 1 apache apache 13850 5月 30 2005 j2
-rwxr-xr-x 1 apache apache 22983 7月 30 2004 mech.help
-rw-r–r– 1 apache apache 1064 4月 28 23:17 mech.levels
-rw——- 1 apache apache 5 4月 28 19:50 mech.pid
-rw-r–r– 1 apache apache 251 4月 28 23:17 mech.session
-rwxr-xr-x 1 apache apache 445 1月 30 06:59 mech.set
-rwxr-xr-x 1 apache apache 67 2月 22 2009 run
-rwxr-xr-x 1 apache apache 15078 2月 21 2005 s
-rwxr-xr-x 1 apache apache 16776 9月 19 2002 sl
-rwxr-xr-x 1 apache apache 16 2月 22 2009 start
-rwxr-xr-x 1 apache apache 15195 9月 3 2004 std
-rwxr-xr-x 1 apache apache 8790 1月 24 2006 stream
-rwxr-xr-x 1 apache apache 7091 1月 24 2006 tty
-rwxr-xr-x 1 apache apache 915 1月 30 07:00 udp.pl
-rwxr–r– 1 apache apache 160 4月 22 17:57 update
-rwxr-xr-x 1 apache apache 13687 11月 20 2002 v
-rwxr-xr-x 1 apache apache 14841 7月 23 2005 v2
-rwxr-xr-x 1 apache apache 915 3月 2 2005 x
これって・・・この中の update がスケジュールで自動実行(毎分)
追っかけてみると、"Enjoy FloodBot based on OverKill"みたいな文字が・・・
これって、このサーバから
-rwxr-xr-x 1 apache apache 266463 5月 10 2005 bang.txt
に書かれたホストに向けて Flood 攻撃をしかけていた事になります。
うーーーん、申し訳ありません。
ひょっとすると、ブラックリストに乗ってしまったかも。
状態から考えて、SYN flood攻撃のような気がするんですが、とりあえず解析は後回しにして、事象を収束させる必要があります。
該当プログラムを隔離して、通信状態は回復、インストールしてあるパッケージの改竄がされていないか、検査を行いましたが、実行ファイルが変更された形跡はありませんでした。
バックアップで残されている最終版に戻して様子を見ることに・・・
どうやって仕込まれたか、まったく思い当たるふしが無い・・・
外部からの攻撃は考えにくいので、インターネットアクセスにより自分が呼び込んだのだと思います。
どちらにしてもサーバは復旧、どのようなダメージを受けているか今のところ不明なため、慎重に様子を見ることにします。
サーバをクライアントみたいに使った事が、このような事象を招いたのだと思います。
今後注意しよう!

PCとネット

Posted by papas