2017年02月18日
Tweet
前回の記事で Apache由来のメール送信が行われているっぽいことがわかりました。
ということで次は secure ログの調査を行います。
# cat /var/log/secure |grep "Login successful" |less
proftpd[29219]: 127.0.0.1 (X.X.X.X[X.X.X.X]) - USER XXX: Login successful.
ログインが成功したログが上記の通りでています。
そしてこのときのIPがなんと海外からでした。もちろん海外からログインするようなことは無いので不正アクセスだと思われます。
User XXX が操作することのできる、Webサイトにアクセスしました。しかしながら改ざんは行われておりませんでした。
一方で、ディレクトリ内には不正なプログラムが設置されていました。
powered.php
version.php
yt.php
InboxUnlimited.php
などなどです。
すぐに FTPのユーザー名・パスワードを変更し、ディレクトリ内のファイルは削除しました。
また、海外からのFTPアクセスもすべて拒否することにしました。
とりあえずこれで様子を見たいと思います。
ということで次は secure ログの調査を行います。
# cat /var/log/secure |grep "Login successful" |less
proftpd[29219]: 127.0.0.1 (X.X.X.X[X.X.X.X]) - USER XXX: Login successful.
ログインが成功したログが上記の通りでています。
そしてこのときのIPがなんと海外からでした。もちろん海外からログインするようなことは無いので不正アクセスだと思われます。
User XXX が操作することのできる、Webサイトにアクセスしました。しかしながら改ざんは行われておりませんでした。
一方で、ディレクトリ内には不正なプログラムが設置されていました。
powered.php
version.php
yt.php
InboxUnlimited.php
などなどです。
すぐに FTPのユーザー名・パスワードを変更し、ディレクトリ内のファイルは削除しました。
また、海外からのFTPアクセスもすべて拒否することにしました。
とりあえずこれで様子を見たいと思います。