「トロイの木馬事件」調査報告書 ●4月6日 イスラエルからの不正アクセス srv01:~# cat syslog Apr 6 06:42:37 srv01 in.pop3d[13225]: refused connect from d082.pop135-2.israsrv.net.il Apr 6 06:44:18 srv01 in.telnetd[13232]: refused connect from d082.pop135-2.israsrv.net.il  イスラエルからの直接アクセスは、tcp_wrapperにより、接続拒否 srv01:~# cat netstatlog Proto Recv-Q Send-Q Local Address Foreign Address (State) User Mon Apr 6 06:45:01 JST 1998 tcp 3 0 srv01.ash.or.jp:pop3 d082.pop135-2.isr:1165 CLOSE_WAIT root tcp 0 0 srv01.ash.or.jp:telnet d082.pop135-2.isr:1166 ESTABLISHED root Mon Apr 6 06:50:01 JST 1998 tcp 3 0 srv01.ash.or.jp:pop3 d082.pop135-2.isr:1165 CLOSE_WAIT root tcp 3 0 srv01.ash.or.jp:telnet d082.pop135-2.isr:1166 CLOSE_WAIT root  国内サイト経由で、pop3からtelnet接続 srv01:~# cat netstatlog Mon Apr 6 06:55:01 JST 1998 Proto Recv-Q Send-Q Local Address Foreign Address (State) User tcp 3 0 srv01.ash.or.jp:pop3 d082.pop135-2.isr:1165 CLOSE_WAIT root tcp 0 0 srv01.ash.or.jp:ftp d082.pop135-2.isr:1169 ESTABLISHED root  国内サイト経由で、pop3からftp接続 ●4月7日 イスラエルからの不正アクセスの形跡 srv01:~# cat syslog Apr 7 00:54:13 srv01 named[87]: Lame server on 'www.ash.com.ash.or.jp' (in 'ash.or.jp'?): [203.139.160.73].53 'ns-tk011.ocn.ad.jp': learnt (A=203.139.160.19,NS=ash.or.jp) Apr 7 01:04:17 srv01 named[87]: Lame server on 'ash.co.jp.ash.or.jp' (in 'ash.or.jp'?): [203.139.160.73].53 'ns-tk011.ocn.ad.jp': learnt (A=203.139.160.19,NS=ash.or.jp) Apr 7 01:12:03 srv01 wu.ftpd[15641]: refused connect from blacky@dialup1-123.pop002.israsrv.net.il  ashのIPアドレスを調査した形跡があった。  イスラエルからの直接アクセスは、tcp_wrapperにより、接続拒否。 ●4月7日 イスラエルへ大量のデータの送信(Send-Qを参照) srv01:~# cat netstatlog Proto Recv-Q Send-Q Local Address Foreign Address (State) User Tue Apr 7 01:15:01 JST 1998 tcp 0 0 srv01.ash.or.jp:ftp dialup1-123.pop00:1421 ESTABLISHED root Tue Apr 7 01:20:01 JST 1998 tcp 0 4013 srv01.ash.or.jp:ftp dialup1-123.pop00:1421 ESTABLISHED root Tue Apr 7 01:25:01 JST 1998 tcp 0 15892 srv01.ash.or.jp:ftp dialup1-123.pop00:1421 ESTABLISHED root Tue Apr 7 01:30:01 JST 1998 tcp 0 27994 srv01.ash.or.jp:ftp dialup1-123.pop00:1421 ESTABLISHED root Tue Apr 7 01:35:02 JST 1998 tcp 0 39897 srv01.ash.or.jp:ftp dialup1-123.pop00:1421 ESTABLISHED root Tue Apr 7 01:40:01 JST 1998 tcp 0 48185 srv01.ash.or.jp:ftp dialup1-123.pop00:1421 ESTABLISHED root ●4月7日 再度、イスラエルからの不正アクセスの形跡 srv01:~# cat syslog Apr 7 12:26:14 srv01 in.telnetd[16821]: refused connect from d199.pop135-2.israsrv.net.il  イスラエルからの直接アクセスは、tcp_wrapperにより、接続拒否 srv01:~# cat netstatlog Proto Recv-Q Send-Q Local Address Foreign Address (State) User Tue Apr 7 12:30:01 JST 1998 tcp 25 0 srv01.ash.or.jp:telnet d199.pop135-2.isr:2057 CLOSE_WAIT root Tue Apr 7 12:35:01 JST 1998 tcp 25 0 srv01.ash.or.jp:telnet d199.pop135-2.isr:2057 CLOSE_WAIT root Tue Apr 7 12:40:01 JST 1998 tcp 25 0 srv01.ash.or.jp:telnet d199.pop135-2.isr:2057 CLOSE_WAIT root  国内サイト経由で、telnet接続した形跡 ●4月19日 イスラエルからの不正アクセスの形跡 srv01:~# cat syslog Apr 19 01:58:29 srv01 in.telnetd[13220]: warning: can't get client address: Connection reset by peer Apr 19 01:58:29 srv01 in.telnetd[13220]: refused connect from unknown  イスラエルからの直接アクセスは、tcp_wrapperにより、接続拒否 srv01:~# cat netstatlog Proto Recv-Q Send-Q Local Address Foreign Address (State) User Sun Apr 19 02:00:01 JST 1998 tcp 1 0 srv01.ash.or.jp:auth dialup1-132.pop00:1042 TIME_WAIT root tcp 0 0 srv01.ash.or.jp:ftp dialup1-132.pop00:1043 ESTABLISHED root Sun Apr 19 02:10:01 JST 1998 tcp 0 0 srv01.ash.or.jp:finger dialup1-132.pop00:1049 ESTABLISHED root tcp 0 0 srv01.ash.or.jp:ftp dialup1-132.pop00:1047 ESTABLISHED root  国内サイト経由で、ftp接続 ●4月19日 リモートでリブートした形跡 srv01:~# last | grep "Apr 19 02:0" runlevel ~ Sun Apr 19 02:06 reboot ~ Sun Apr 19 02:06 shutdown ~ Sun Apr 19 02:04 shutdown ~ Sun Apr 19 02:04  2時4分に、マシンの前にashのメンバがいたが、リブートはしていない。 リブート前に、crashのログがなかったため、lastlogは削除された可能性が高い。 ●4月19日 ディスクエラーが発生 srv01:~# cat syslog Apr 19 02:07:08 srv01 kernel: VFS: Disk change detected on device 02:00 Apr 19 02:07:08 srv01 kernel: end_request: I/O error, dev 02:00, sector 0 Apr 19 02:07:08 srv01 kernel: VFS: Disk change detected on device 02:00 Apr 19 02:07:08 srv01 kernel: end_request: I/O error, dev 02:00, sector 0  トロイの木馬によって、iノードが壊された可能性が高い。 ●4月19日 Webサーバがダウン srv01:~# cat access_log cse9-39.tokyo.mbn.or.jp - - [19/Apr/1998:02:03:17 +0900] "GET /~yanagi/board/board.cgi HTTP/1.0" 200 14214 ppp06-309.din.or.jp - - [19/Apr/1998:03:32:47 +0900] "GET /~cas/top001.jpg HTTP/1.0" 200 33499  2:03から3:32まで、約1時間30分Webサーバが停止してしまった。 ●4月19日 ファイルのアクセス権が不正 srv01:~# ls pass* --wSrwx--- 1 root root 3711 Apr 19 18:43 passwd* --wSrwx--- 1 root root 3711 Apr 19 18:42 passwd.OLD* -rw-r--r-- 1 root root 2765 Feb 15 16:02 passwd.bak  更新した、ファイルのアクセス権が壊れるみたいである。  chmod コマンドで一時的に復活する。 ●4月21日 ルートディレクトリにcoreファイルを発見 srv01:~# ls -l core -r-------- 1 root root 319773 Apr 21 02:09 core  1998年4月21日 午前2時9分に、アボートしている。 srv01:~# strings core | head -5 CORE @/bin CORE rasam.pqx /sbin/.pqx/rasam.pqx  /sbin/.pqx ディレクトリにある、rasam.pqx というプログラムが実行されていた。  UNIX の core ファイルは、ファイルの先頭に起動プログラムの情報が格納されている。 ●4月21日 隠しディレクトリに、deplay.tar を発見 srv01:~# ls -a ./   .\002/   ../   .iroha_unix/  \002 は、8進数表示なので、^b を入力することでアクセスできる。  ^b を入力する場合は、^v を入力した次に^b と入力する。  ^v ^b は、ctrl キーを押しながら、v キーや b キーを入力する。 srv01:~# cd ^v^b srv01:~# ls deplay.tar  /tmp/.\002/ という隠しディレクトリに、deplay.tar が隠してあった。 ●4月21日 裏口機能付きのトロイの木馬を発見 unix> tar -xvf deplay.tar deploy fix itf.pqx.o itf2.c itf2.justincase.o linux.pqx rasam.pqx script.pqx unix> cat itf2.c /* * itf.c v0.8 * Linux Integrated Trojan Facility * (c) plaguez 1997 -- dube0866@eurobretagne.fr * This is mostly not fully tested code. Use at your own risks. * * * compile with: * gcc -c -O3 -fomit-frame-pointer itf.c * Then: * insmod itf * * * Thanks to Halflife and Solar Designer for their help/ideas. * * Greets to: w00w00, GRP, #phrack, #innuendo, K2, YmanZ, Zemial. * * Minor modifications by bloodmask for practical stealth backdoor */  このソースは、社会的に害があると判断し、ヘッダ部のみの公開と致します。 ●4月21日 「トロイの木馬」モジュールのインストールシェルを確認 srv01:~# cat script.pqx #!/bin/sh /sbin/.pqx/linux.pqx /sbin/.pqx/rasam.pqx /sbin/insmod -f /sbin/.pqx/itf.pqx.o ●4月29日 「トロイの木馬」モジュールを確認  LINUXを入れ替え、マウントし「トロイの木馬」に犯されたディスクを参照できるようになりました。 srv01:~# cd /sbin/.pqx srv01:~# ls -l -rwxr-xr-x 1 root root 279176 Apr 18 17:02 bash.pqx* -rw-r--r-- 1 root root 4700 Apr 18 17:02 itf.pqx.o -rwxr-xr-x 1 root root 9052 Apr 18 16:26 linux.pqx* -rw-rw-rw- 1 root root 216051 Apr 21 18:05 logs.pqx -r-x--x--x 1 root root 25468 Apr 18 17:40 rasam.pqx* -rwxr-xr-x 1 root root 4174 Apr 18 17:02 rc.S.pqx* -rwxr-xr-x 1 root root 89 Apr 18 16:35 script.pqx* ●4月29日 ログイン情報の格納されたログファイルを発見  ログの先頭には、侵入者のログが残っていました。  また、パスワードは修正してありますが、可読可能な形式で格納されていました。 srv01:~# cat logs.pqx dialup1-132.pop002.israsrv.net.il => srv01.ash.or.jp [21] ^B^D^E^真^;^X^?^:^X : linux^?^0^?^=^A^?^=^C^?^; ^?^;!^?^<^A^?^: : 38400,38400^?^0l00k3r : ps auxwf : ----- [Timed Out] pc22.ash.or.jp => srv01.ash.or.jp [110] ^B^D^E^錦ER joe : : PASS joepasswd : : STAT : : QUIT pc25.ash.or.jp => srv01.ash.or.jp [23] ^B^D^E^真^;^X^?^=^C^?^;^C^?^=^A^?^;^_^?^< ^?^<#^?^<'^?^:^_ : P : ^X^?^0^?^:^X : vt100^?^0^?^<^A^?^>^E^?^ srv01.ash.or.jp [143] ----- [FIN] mi-rj52.montreal.com.br => srv01.ash.or.jp [143] ----- [FIN] ●4月30日 イスラエルからの不正アクセスの形跡 srv01:~# cat syslog Apr 30 00:21:30 name in.telnetd[10421]: refused connect from Tel-Aviv-195-159.access.net.il  イスラエルからの直接アクセスは、tcp_wrapperにより、接続拒否