To: info@jpcert.or.jp
コンピュータ緊急対応センター(JPCERT/CC)殿　　　　1997年 12月 14日

From: joe@ash.or.jp
届出者　升村　丞

［不正アクセス情報届］

1.不正アクセスを受けたサイトについてご記入ください。 
    組織名称: マルチメディア研究会ＡＳＨ
    ドメイン名: ash.or.jp
    組織の概要: マルチメディアの研究
    インターネット・サービス・プロバイダか否か [はい/いいえ]: いいえ
2.あなたの連絡先をご記入ください。 
    氏名: 升村　丞
    電子メール・アドレス: joe@ash.or.jp
    電話番号: 076-261-4921
    FAX 番号: 076-261-4921
3.影響を受けたホストの情報
    ホスト名: srv01.ash.or.jp
    IP アドレス: 210.154.87.18
    ハードウェアと OS のバージョン情報:
      ハードウェア: PC-AT互換機
      OS: Linux 2.0.0
      Network: OCNエコノミー
    影響を受けたホストの役割:
      DNSサーバ、メールサーバ、WWWサーバ、FTPサーバ
    攻撃の結果、そのホストは被害を受けましたか [はい/いいえ]: はい
  　　ｒｏｏｔ権限が、乗っ取られている。
  　　　勝手に amishito というユーザが作成されている。
  　　　root 権限で、telnet を起動された。
  　　無断でディスクが無断使用されている。
　  　　amishito というユーザに、無断で、28MB も使用されている。
　  　ＣＰＵを無断使用されている。
　  　　crontabsの設定が変更され、eggdrop というチャットソフトが起動されている。
　　  　crontabsの設定が変更され、bbh という LandAttack ソフトが起動されていた。(12/14)
      
4.不正アクセスの内容
    不正アクセスの 分類
     ・侵入者が root 権限を得た
     ・IP パケット偽造攻撃 (IP spoofing)
    不正アクセスが行われた日時と期間:
      1997年 11月 17日から、継続中
    どのようにして不正アクセスを発見したか:
      ・不正なユーザが追加されていたため。(12/05)
      ・LandAtack実行のメールがrootに送信されてきたため。(12/14)
    攻撃元 (もしわかれば):
      当サイトへの直接接続ユーザを syslog と last コマンドにて調査
        batman@pop03-1p11.trendline.co.il
        yoshi@dialup1-007.pop001.israsrv.net.il
        ring@dialup1-061.pop001.israsrv.net.il
        root@gezer56.gezernet.co.il
        batman@192.114.11.136
        batman@192.114.11.141
    侵入方法: 不明
    既に実行した、不正アクセスへの対処手段:
      ・crontabs より LandAttack起動 を解除(12/14)
    その他:
      被害状況などは、以下のURLにアクセスログなどを整理中です。
      なお、当ホームページは非公開です。
    　　http://www.ash.or.jp/~joe/hack/

5.JPCERT/CC のどのような対応を希望なさいますか。該当するものに印を 付けてください。 
    以下の質問について回答を欲しい(質問の内容を具体的に記述してください)。
      ・今のことろ当サイトの資源を破壊する気配はありませんが、すぐにユーザなどを削除するべきでしょうか？
      ・ユーザの削除などの排除手段を取った場合、当サイトが攻撃される可能性はないでしょうか？
      ・侵入経路を突き止める方法はないでしょうか？
      ・他サイトに対して LandAttack を実施しているので、阻止する方法はないでしょうか？
    上記の不正アクセスの解決に協力して欲しい(以下の質問にお答え下さい)。 
      その不正アクセスは、現在も継続中か: はい
      最後に不正アクセスが行われた日時: 12/14 AM 5:07
      不正アクセスの発生頻度: 毎日