[kansaipm] ハッキングされた ?

yu hashimoto yuhashimoto at hi-ho.ne.jp
Thu Aug 9 23:36:20 CDT 2001 

橋本優です。
Linuxで基幹業務は、最終段階です。COBOL to perlは、まもなく。  
perlと関係ないのですが、とはいえ、最近 perlの話しも見かけないのですが(笑い)
 
実害は何もないようなのですが、

ハッキングされたのしょうか?以下のような状況です。何かアドバイスをお願いし
たいのですが。 

環境は以下です。 
turbolinux server 6.1 
Apache-1.3.12-5

/var/log/httpd/access_log に以下のようなアクセスが、断続的に入ってきます。 
IPアドレスは、毎回変わっています。 

211.35.8.2 - - [10/Aug/2001:00:01:24 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 278
211.5.170.131 - - [10/Aug/2001:00:01:58 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 278
211.21.250.149 - - [10/Aug/2001:00:09:15 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 278
211.187.225.224 - - [10/Aug/2001:00:09:25 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 278

また、root宛のメールに以下のようなものが入っていました。

Date: Fri, 10 Aug 2001 05:28:01 +0900
From: root <root>
To: root
Subject: sshd-203.95.215.124

 [203.95.215.124]
 Login: root           			Name: root
 Directory: /root                    	Shell: /bin/bash
 On since Mon Aug  6 15:14 (CST) on tty1   3 days 13 hours idle
      (messages off)
 No mail.
 No Plan.

http://203.95.215.214/index.html を見ると、以下の内容だけのホームページでした 

MHS Hacked your system
UID=O(ROOT) GID=O(ROOT)
Tw34k GREETZ: SENSE, XENTRIC
FOR CONTACT: MNSSECURE at hotmail.COM



ユニタイト システム部 橋本優
Tel 078-991-2233
Fax o78-991-1825

More information about the Kansai-pm mailing list