てきとー管理者にっき！

本業でサーバの管理を行っていることは以前にも書きましたが、その管理しているサーバがハッキングされていたようです。

私が管理しているのは、ネットワーク及びハードウェア迄。
OSに関してはお客様が管理することになっていた。
※俺が監視しているOSじゃなくて良かった。
　　少しホッとしています（笑

このサーバはここ2ヶ月で3回もハッキングされている。

1度目は「./s」と言うディレクトリを作成され、外部のサーバに対して、SSHの攻撃を行う。
2度目はフィッシングサイトを作られた。
3度目は「1度目」と同様のスクリプトを埋め込まれた。

利用ユーザーにはOSの再インストールを促しているが、全く同意してもらえず、半ばあきらめてい所。
強制的に再インストールを予定していました。

その矢先、3度目がやってきた。

今回の現象は次の通りです。

１、共有ネットワークのトラフィック飽和のため、監視サーバよりアラートが飛んで来る。
２、調査により、該当サーバを突き止める。
３、該当サーバのプロセスを確認すると、CPUを100％占領しているプロセスを発見
　　「pscan2」と言うプロセス。　見たことないぞ！！

そこで、ググってみると、次のサイトが引っかかった。
http://www.mcafee.com/japan/security/virPQ2004.asp?v=Linux/Portscan
http://tomocha.net/diary/?20050709

1度目同様の外部サーバに対してSSH攻撃を行うスクリプトらしいです。
killコマンドで切っても・切っても立ち上がってくる。
むかつく！

切っても起き上がってくるなら、根元から絶たないと駄目ですね。
findにて「pscan2」を検索してみた。

# find / -name pscan2 -print
/tmp/ /team2

team2の配下に「pscan2」があるらしい。
でも、なんか変？
/tmp/ /team2

# cd /tmp
# ls -la
何も無い？？？

隠しFile?

# cd ./\ \/
# ls -la
team2

やっと見えた！！！

念のため圧縮してディレクトリ毎削除。

# tar cvf team2.tar /team2
# ls -la
team2 team2.tar

# rm -Rf team2
# ls -la
team2.tar

topコマンドにてプロセス確認
ん？　「pscan2」が生きている。
ディレクトリ毎を消しても、一度立ち上がったスクリプトは死なないらしい・・・
じゃ～強制的にkill
# kill -KILL [プロセス番号]
# top

該当プロセスが無い事を確認。

・
・
・
・
・

それにしても、最近のハッキングは凝ってますね～
隠しディレクトリ作って・・・
そこまでして、何がしたいの？　って感じです。

この内容を、提供先のユーザーに連絡して、近々でOSの再インストールさせよう～～っと。