1997年　12月　14日
〒105 東京都港区芝公園3-1-38
      情報処理振興事業協会（IPA）
      セキュリティセンター不正アクセス対策室
      TEL 03-3437-2301 FAX 03-3437-2537
       e-mail  crack@adm.ipa.go.jp          （届出者）
                                                住所　金沢市菊川 1丁目9-6
                                    　　　　　　会社・団体名　マルチメディア研究会ASH
　                                    　　　　　部署
　                                    　　　　　氏名　升村　丞
                                   　　　　　　 TEL 076-261-4921
                                    　　　　　　FAX 076-261-4921
                                   　　　　　　 e-mail joe@ash.or.jp

                             　　　不正アクセス情報
１．業務概要
　ホームページの作成。
　マルチメディアコンテンツの制作。

２．被害を受けたシステムの構成（書ききれない場合は別紙）
　Host: PC-AT互換機
　OS: LINUX 2.0.0
　HostName: srv01.ash.or.jp (210.154.87.18)
　Network: OCNエコノミー

３．発見年月日　　　　　　　　1997年　12月　5日

４．発見の方法又は疑いを持った状況
　不正なユーザが追加されていたため。(12/05)
　LandAtack実行のメールがrootに送信されてきたため。(12/14)

５．侵入経路（推定）
  当サイトへの直接接続ユーザを syslog と last コマンドにて調査
    batman@pop03-1p11.trendline.co.il
    yoshi@dialup1-007.pop001.israsrv.net.il
    ring@dialup1-061.pop001.israsrv.net.il
    root@gezer56.gezernet.co.il
    batman@192.114.11.136
    batman@192.114.11.141

６．被害の状況（可能な範囲で）
　被害期間: 11月17日から継続中
　被害内容:
　　ｒｏｏｔ権限が、乗っ取られている。
　　　勝手に amishito というユーザが作成されている。
　　　root 権限で、telnet を起動されている。
　　無断でディスクが無断使用されている。
　　　amishito というユーザに、無断で、28MB も使用されている。
　　ＣＰＵを無断使用されています。
　　　crontabsの設定が変更され、eggdrop というチャットソフトが起動されている。
　　　crontabsの設定が変更され、bbh という LandAttack ソフトが起動されていた。(12/14)
　　直ちに講じた再発防止策
　　　システムログの採取
　　　被害状況の把握
　　　セキュリティ対策のスタディ
　　　データのバックアップ
　　　別サーバの新規作成（作業中）
　　　LandAttackの自動起動の解除(12/14)

７．その他
　被害状況などは、以下のURLにアクセスログなどを整理中です。
　なお、当ホームページは非公開です。
　　http://www.ash.or.jp/~joe/hack/
　当方は、あまりセキュリティ関係の知識がないため、対応方法などアドバイスを
していただけないでしょうか？（紹介でもかまいません。）