[kansaipm] ハッキングされた ?
yu hashimoto
yuhashimoto at hi-ho.ne.jp
Thu Aug 9 23:36:20 CDT 2001
橋本優です。
Linuxで基幹業務は、最終段階です。COBOL to perlは、まもなく。
perlと関係ないのですが、とはいえ、最近 perlの話しも見かけないのですが(笑い)
実害は何もないようなのですが、
ハッキングされたのしょうか?以下のような状況です。何かアドバイスをお願いし
たいのですが。
環境は以下です。
turbolinux server 6.1
Apache-1.3.12-5
/var/log/httpd/access_log に以下のようなアクセスが、断続的に入ってきます。
IPアドレスは、毎回変わっています。
211.35.8.2 - - [10/Aug/2001:00:01:24 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 278
211.5.170.131 - - [10/Aug/2001:00:01:58 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 278
211.21.250.149 - - [10/Aug/2001:00:09:15 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 278
211.187.225.224 - - [10/Aug/2001:00:09:25 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 278
また、root宛のメールに以下のようなものが入っていました。
Date: Fri, 10 Aug 2001 05:28:01 +0900
From: root <root>
To: root
Subject: sshd-203.95.215.124
[203.95.215.124]
Login: root Name: root
Directory: /root Shell: /bin/bash
On since Mon Aug 6 15:14 (CST) on tty1 3 days 13 hours idle
(messages off)
No mail.
No Plan.
http://203.95.215.214/index.html を見ると、以下の内容だけのホームページでした
MHS Hacked your system
UID=O(ROOT) GID=O(ROOT)
Tw34k GREETZ: SENSE, XENTRIC
FOR CONTACT: MNSSECURE at hotmail.COM
ユニタイト システム部 橋本優
Tel 078-991-2233
Fax o78-991-1825
More information about the Kansai-pm
mailing list