2017年02月18日
このエントリーをはてなブックマークに追加
前回の記事で Apache由来のメール送信が行われているっぽいことがわかりました。
ということで次は secure ログの調査を行います。

# cat /var/log/secure |grep "Login successful" |less

proftpd[29219]: 127.0.0.1 (X.X.X.X[X.X.X.X]) - USER XXX: Login successful.

ログインが成功したログが上記の通りでています。
そしてこのときのIPがなんと海外からでした。もちろん海外からログインするようなことは無いので不正アクセスだと思われます。

User XXX が操作することのできる、Webサイトにアクセスしました。しかしながら改ざんは行われておりませんでした。

一方で、ディレクトリ内には不正なプログラムが設置されていました。

powered.php
version.php
yt.php
InboxUnlimited.php

などなどです。
すぐに FTPのユーザー名・パスワードを変更し、ディレクトリ内のファイルは削除しました。
また、海外からのFTPアクセスもすべて拒否することにしました。

とりあえずこれで様子を見たいと思います。


stock_value at 16:40│Comments(0)TrackBack(0)技術:2017年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔