はじめまして、ashの升村と申します。 >●攻撃元への対応について > >・攻撃元に対するご連絡は既にお済みでしょうか? また、もしまだの場合は、 > ご連絡頂くことは可能でしょうか。  攻撃元に対しては、全く連絡は取っていません。  当方で、ホームページは、調査しましたが、アラビア語のため、十分な情報は得られ ていません。従って、イスラエル大使館などへの問い合わせを検討しています。   trendline.co.il (192.114.11) は、会社としてのホームページを開いていますが、  アラビア語のため、十分な情報は得られていません。   gezernet.co.il は、会社としてのホームページを開いていますが、root 権限の  人が侵入してきているので、かなりセキュリティ上問題のある会社と思われます。   israsrv.net.il は、イスラエルのプロバイダです。このユーザは、パスワードを  盗まれている可能性があります。  ただし、相手がイスラエルである点を考慮すると、これ以上、当作業にかける工数も ないのが現状です。 >・もし、ご多忙等何らかの理由によりご自身でご連絡頂くことが難しい場合に > は、JPCERT/CC からご連絡させて頂くことも可能ですが、いかがでしょうか。  このような不正アクセス防止活動のためになるのであれば、できる限りの協力を させていただきたいと思います。 >・もし JPCERT/CC からご連絡を差し上げる場合には、状況説明のために、不 > 正使用の記録 (ログ) をご提供頂けませんでしょうか。また、お届け頂いた > 情報の 1.〜4.のどの部分をお教えして差し支えございませんでしょうか。  1.〜4.のすべてを利用してかまいません。  また、11/17 から 12/14 までの last コマンドの実行結果と、syslog の内容 から不正アクセス分を抽出した、ログデータも添付しますので、参考にして下さい。  ただし、12/14 以降は、アクセスログには、残っていませんが、syslog の内容や 今回の状況を報告しているホームページのデータが削除されたりしています。  そこで、質問なのですが、このような場合に監視する方法はないでしょうか?  現在は、/etc/syslog.conf にて、*.* 指定で syslog を採取すると同時に、 tcpwrapper で監視しています。  なお、当方のホームページのURLも知られてしまったので、ミラーサイトを 設置するとともに、新情報は、以下のURLにまとめて行きますので、参考にして 下さい。   http://www.nsknet.or.jp/~joe-mas/cert/ >> ・今のことろ当サイトの資源を破壊する気配はありませんが、すぐに >>ユーザなどを削除するべきでしょうか? > はい。すぐに削除することをお勧め致します。  ユーザや、侵入者のデータは、すべて削除しました。 以下に、last コマンドの履歴を添付します。 amishito ttyp0 pop03-2p4.trendl Sun Dec 14 05:07 - 05:07 (00:00) amishito ttyp0 pop03-2p4.trendl Sun Dec 14 04:14 - 04:14 (00:00) amishito ttyp1 pop03-2p4.trendl Sun Dec 14 03:53 - 03:54 (00:00) amishito ttyp2 pop03-2p4.trendl Sun Dec 14 02:58 - 02:59 (00:00) amishito ttyp0 pop03-2p12.trend Fri Dec 12 22:03 - 22:17 (00:14) amishito ttyp0 pop03-2p23.trend Fri Dec 12 08:41 - 08:44 (00:02) amishito ttyp0 pop03-2p17.trend Thu Dec 11 08:13 - 09:19 (01:05) amishito ttyp0 pop03-2p4.trendl Wed Dec 10 05:48 - 05:54 (00:06) amishito ttyp0 pop03-2p21.trend Tue Dec 9 04:25 - 04:25 (00:00) amishito ttyp1 pop03-2p20.trend Mon Dec 8 07:02 - 07:02 (00:00) amishito ttyp1 pop03-2p22.trend Mon Dec 8 06:11 - 06:12 (00:00) amishito ttyp1 pop03-2p22.trend Mon Dec 8 05:52 - 05:52 (00:00) amishito ttyp1 pop03-2p11.trend Sun Dec 7 03:15 - 03:16 (00:00) amishito ttyp1 pop03-2p11.trend Sun Dec 7 02:58 - 02:58 (00:00) amishito ttyp0 dialup1-069.pop0 Fri Dec 5 06:45 - 07:39 (00:53) amishito ttyp0 dialup1-025.pop0 Wed Dec 3 05:47 - 06:30 (00:43) amishito ttyp0 ts056p16.pop3b.n Tue Dec 2 07:26 - 07:27 (00:00) amishito ttyp0 dialup1-104.pop0 Mon Dec 1 06:57 - 07:01 (00:04) amishito ttyp0 ts048p14.pop3b.n Sun Nov 30 07:46 - 07:47 (00:00) amishito ttyp0 gezer56.gezernet Sat Nov 29 23:14 - 23:32 (00:17) amishito ttyp0 dialup1-099.pop0 Sat Nov 29 17:43 - 17:46 (00:03) amishito ttyp7 dialup1-007.pop0 Fri Nov 28 20:16 - 20:26 (00:10) amishito ttyp0 pop03-2p15.trend Thu Nov 27 05:39 - 05:55 (00:15) amishito ttyp0 pop03-2p16.trend Wed Nov 26 06:01 - 06:34 (00:33) amishito ttyp2 pop03-1p11.trend Sun Nov 23 07:28 - 07:28 (00:00) amishito ttyp1 pop03-2p2.trendl Sat Nov 22 20:19 - 21:51 (01:31) amishito ttyp0 pop03-2p8.trendl Sat Nov 22 20:02 - 21:03 (01:00) amishito ttyp6 dialup1-070.pop0 Sat Nov 22 02:38 - 02:39 (00:00) amishito ttyp0 pop03-1p16.trend Sat Nov 22 02:27 - 02:54 (00:27) amishito ttyp0 192.114.85.114 Fri Nov 21 18:19 - 18:48 (00:29) amishito ttyp0 pop03-1p11.trend Fri Nov 21 06:56 - 07:30 (00:33) amishito ttyp0 pop03-1p11.trend Fri Nov 21 03:20 - 06:55 (03:34) amishito ttyp0 pop03-2p21.trend Thu Nov 20 05:33 - 07:07 (01:33) amishito ttyp0 pop03-2p21.trend Thu Nov 20 04:29 - 05:32 (01:03) amishito ttyp0 dialup1-061.pop0 Wed Nov 19 22:15 - 22:17 (00:01) amishito ttyp3 pop03-2p18.trend Wed Nov 19 03:50 - 04:12 (00:21) amishito ttyp0 pop03-2p10.trend Wed Nov 19 03:44 - 03:57 (00:12) amishito ttyp0 pop03-2p16.trend Tue Nov 18 04:07 - 05:12 (01:05) amishito ttyp1 pop03-2p12.trend Mon Nov 17 06:47 - 11:00 (04:12) 以下に、syslog の内容を添付します。 Nov 17 06:47:19 srv01 in.telnetd[8599]: warning: host name/address mismatch: 192.114.11.132 != pop03-2p12.trendline.co.il Nov 17 06:47:19 srv01 in.telnetd[8599]: connect from 192.114.11.132 Nov 18 04:07:12 srv01 in.telnetd[1462]: warning: host name/address mismatch: 192.114.11.136 != pop03-2p16.trendline.co.il Nov 18 04:07:12 srv01 in.telnetd[1462]: connect from batman@192.114.11.136 Nov 19 03:43:56 srv01 in.telnetd[10087]: warning: host name/address mismatch: 192.114.11.130 != pop03-2p10.trendline.co.il Nov 19 03:43:56 srv01 in.telnetd[10087]: connect from 192.114.11.130 Nov 19 03:50:04 srv01 in.telnetd[10158]: warning: host name/address mismatch: 192.114.11.138 != pop03-2p18.trendline.co.il Nov 19 03:50:04 srv01 in.telnetd[10158]: connect from 192.114.11.138 Nov 19 03:52:23 srv01 in.telnetd[10238]: warning: host name/address mismatch: 192.114.11.138 != pop03-2p18.trendline.co.il Nov 19 03:52:23 srv01 in.telnetd[10238]: connect from 192.114.11.138 Nov 19 03:53:15 srv01 telnetd[10238]: ttloop: read: Connection reset by peer Nov 19 22:14:55 srv01 in.telnetd[14913]: connect from ring@dialup1-061.pop001.israsrv.net.il Nov 20 04:28:52 srv01 in.telnetd[16198]: warning: host name/address mismatch: 192.114.11.141 != pop03-2p21.trendline.co.il Nov 20 04:28:52 srv01 in.telnetd[16198]: connect from batman@192.114.11.141 Nov 20 05:33:05 srv01 in.telnetd[16605]: warning: host name/address mismatch: 192.114.11.141 != pop03-2p21.trendline.co.il Nov 20 05:33:05 srv01 in.telnetd[16605]: connect from batman@192.114.11.141 Nov 21 03:19:58 srv01 in.telnetd[23844]: connect from batman@pop03-1p11.trendline.co.il Nov 21 06:56:24 srv01 in.telnetd[26125]: connect from pop03-1p11.trendline.co.il Nov 21 18:18:40 srv01 in.telnetd[29378]: connect from 192.114.85.114 Nov 22 02:26:54 srv01 in.telnetd[31596]: connect from batman@pop03-1p16.trendline.co.il Nov 22 02:37:45 srv01 in.telnetd[31641]: connect from batman@dialup1-070.pop001.israsrv.net.il Nov 22 20:02:37 srv01 in.telnetd[4989]: warning: host name/address mismatch: 192.114.11.128 != pop03-2p8.trendline.co.il Nov 22 20:02:37 srv01 in.telnetd[4989]: connect from batman@192.114.11.128 Nov 22 20:19:27 srv01 in.telnetd[5175]: warning: host name/address mismatch: 192.114.11.122 != pop03-2p2.trendline.co.il Nov 22 20:19:27 srv01 in.telnetd[5175]: connect from batman@192.114.11.122 Nov 23 06:57:36 srv01 in.telnetd[2858]: warning: can't get client address: Connection reset by peer Nov 23 06:57:36 srv01 in.telnetd[2858]: connect from unknown Nov 23 07:27:58 srv01 in.telnetd[2995]: connect from batman@pop03-1p11.trendline.co.il Nov 24 15:54:39 srv01 in.telnetd[14627]: connect from chanman@cyber1c21d94.cal.shaw.wave.ca Nov 26 06:00:51 srv01 in.telnetd[28290]: warning: host name/address mismatch: 192.114.11.136 != pop03-2p16.trendline.co.il Nov 26 06:00:51 srv01 in.telnetd[28290]: connect from 192.114.11.136 Nov 27 05:39:20 srv01 in.telnetd[2516]: warning: host name/address mismatch: 192.114.11.135 != pop03-2p15.trendline.co.il Nov 27 05:39:20 srv01 in.telnetd[2516]: connect from 192.114.11.135 Nov 28 18:07:11 srv01 in.telnetd[12053]: warning: host name/address mismatch: 192.114.11.139 != pop03-2p19.trendline.co.il Nov 28 18:07:11 srv01 in.telnetd[12053]: connect from blacky@192.114.11.139 Nov 28 20:15:58 srv01 in.telnetd[12613]: connect from yoshi@dialup1-007.pop001.israsrv.net.il Nov 29 17:43:07 srv01 in.telnetd[2525]: connect from batman@dialup1-099.pop001.israsrv.net.il Nov 29 23:14:01 srv01 in.telnetd[11452]: connect from root@gezer56.gezernet.co.il Nov 29 23:35:43 srv01 in.telnetd[11575]: connect from ppp9d9c.pppp.ap.so-net.or.jp Nov 29 23:39:08 srv01 in.telnetd[11599]: connect from ppp9d9c.pppp.ap.so-net.or.jp Nov 29 23:41:03 srv01 in.telnetd[11612]: connect from ppp9d9c.pppp.ap.so-net.or.jp Nov 29 23:56:25 srv01 in.telnetd[11686]: connect from ppp9d9c.pppp.ap.so-net.or.jp Nov 30 07:46:26 srv01 in.telnetd[847]: connect from batman@ts048p14.pop3b.netvision.net.il Dec 1 04:13:03 srv01 in.telnetd[3885]: connect from istk-port1.jps.net Dec 1 04:13:04 srv01 telnetd[3885]: ttloop: peer died: Unknown error Dec 1 06:56:19 srv01 in.telnetd[4485]: connect from batman@dialup1-104.pop001.israsrv.net.il Dec 1 08:04:52 srv01 in.telnetd[4732]: connect from effigy@ts009d01.lap-ca.concentric.net Dec 1 08:04:52 srv01 telnetd[4732]: ttloop: peer died: Unknown error Dec 2 07:26:31 srv01 in.telnetd[232]: connect from batman@ts056p16.pop3b.netvision.net.il Dec 2 07:47:46 srv01 in.telnetd[347]: connect from batman@dialup1-087.pop001.israsrv.net.il Dec 2 07:47:46 srv01 telnetd[347]: ttloop: peer died: Unknown error Dec 3 05:46:49 srv01 in.telnetd[7248]: connect from batman@dialup1-025.pop001.israsrv.net.il Dec 5 06:44:43 srv01 in.telnetd[5260]: connect from batman@dialup1-069.pop001.israsrv.net.il Dec 5 22:37:47 srv01 in.telnetd[10439]: connect from root@server.ben-gurion.hasharon.k12.il Dec 5 22:37:47 srv01 telnetd[10439]: ttloop: peer died: Unknown error Dec 7 02:56:41 srv01 in.telnetd[18759]: warning: host name/address mismatch: 192.114.11.131 != pop03-2p11.trendline.co.il Dec 7 02:56:41 srv01 in.telnetd[18759]: connect from batman@192.114.11.131 Dec 7 02:57:50 srv01 in.telnetd[18766]: warning: host name/address mismatch: 192.114.11.131 != pop03-2p11.trendline.co.il Dec 7 02:57:50 srv01 in.telnetd[18766]: connect from batman@192.114.11.131 Dec 7 03:15:21 srv01 in.telnetd[18904]: warning: host name/address mismatch: 192.114.11.131 != pop03-2p11.trendline.co.il Dec 7 03:15:21 srv01 in.telnetd[18904]: connect from batman@192.114.11.131 Dec 8 05:51:48 srv01 in.telnetd[8125]: connect from batman@pop03-2p22.trendline.co.il Dec 8 06:11:40 srv01 in.telnetd[8219]: connect from batman@pop03-2p22.trendline.co.il Dec 8 07:01:54 srv01 in.telnetd[8386]: connect from batman@pop03-2p20.trendline.co.il Dec 9 04:25:10 srv01 in.telnetd[2334]: connect from batman@pop03-2p21.trendline.co.il Dec 9 19:03:02 srv01 telnetd[165]: ttloop: peer died: Unknown error Dec 10 05:47:40 srv01 in.telnetd[8740]: connect from pop03-2p4.trendline.co.il Dec 11 08:13:08 srv01 in.telnetd[5850]: connect from pop03-2p17.trendline.co.il Dec 11 08:32:28 srv01 in.telnetd[5968]: connect from amishito@localhost Dec 12 07:01:55 srv01 telnetd[123]: ttloop: peer died: Unknown error Dec 12 07:01:58 srv01 telnetd[129]: ttloop: read: Connection reset by peer Dec 12 07:02:14 srv01 telnetd[127]: ttloop: peer died: Unknown error Dec 12 07:02:27 srv01 telnetd[128]: ttloop: peer died: Unknown error Dec 12 08:41:33 srv01 in.telnetd[648]: connect from batman@pop03-2p23.trendline.co.il Dec 12 22:02:49 srv01 in.telnetd[1565]: connect from pop03-2p12.trendline.co.il Dec 14 02:58:38 srv01 in.telnetd[1872]: connect from batman@pop03-2p4.trendline.co.il Dec 14 03:52:55 srv01 in.telnetd[288]: connect from batman@pop03-2p4.trendline.co.il Dec 14 04:13:54 srv01 in.telnetd[122]: connect from batman@pop03-2p4.trendline.co.il Dec 14 05:06:43 srv01 in.telnetd[545]: connect from batman@pop03-2p4.trendline.co.il Dec 14 05:10:26 srv01 in.telnetd[593]: connect from batman@pop03-2p4.trendline.co.il