今日サーバーにsshで接続したらLast loginに見慣れないリモートホストがあって渋った件

Last login: Wed Jun 19 16:04:15 2013 from xxx.xxx.xxx.xxx.ap.w.yournetisp.jp

さっき、ちょっとやらなければいけないことがあって、サーバーにsshで接続してみたら上の様な見慣れないリモートホストがラストログインとして表示された。

「やっべー!まじやっべー」と心臓がバクバクしたわけです。

しかも、リモートホストが悪名高きapyournet系なので、もうそれは不正アクセスだと確信しました。

lastやlastlogコマンドでログイン履歴を調べたりヒストリを見て操作の履歴を見てみたりしたわけです。

/var/log/secureを見てみたりxferlogを見てみたり

もう、慌てて色々見てみたり、変なプロセスは居ないか、変に負荷が掛かっていないかとか色々不正アクセスの形跡を探した。

でも、見つからない。

サーバーのレンタル元に連絡して相談すべきか?そんなことを考えながら

yum install chkrootkit

yum install rkhunter

サボって入れてなかったルートキット発見ツールをインストールしようとしてみたり。

でも、yumでは入らなかったので、

ソースを落としてきて、インストールしました。rkhunterだけ

とりあえず、

rkhunter -c

でチェックをしてみましたかが、warningは出るもののinfectedの文字は出なかったので大丈夫そう。

色々見たけどよくわからない。

secureをよくみてみる事にした。

不正アクセスされた時刻は

Wed Jun 19 16:04:15 2013

この時間何をしていたか考えてみました。

依頼で某プログラムが動かない原因を調べていたのを思い出す。

Jun 18 10:48:29 rad-xen-vweb20 vsftpd[29230]: pam_unix(vsftpd:auth): check pass; user unknown
Jun 18 10:48:29 rad-xen-vweb20 vsftpd[29230]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=user rhost=163.125.239.225
Jun 18 10:48:29 rad-xen-vweb20 vsftpd[29230]: pam_succeed_if(vsftpd:auth): error retrieving information about user user
Jun 18 10:48:33 rad-xen-vweb20 vsftpd[29232]: pam_unix(vsftpd:auth): check pass; user unknown
Jun 18 10:48:33 rad-xen-vweb20 vsftpd[29232]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=163.125.239.225
Jun 18 10:48:33 rad-xen-vweb20 vsftpd[29232]: pam_succeed_if(vsftpd:auth): error retrieving information about user administrator
Jun 19 16:04:15 rad-xen-vweb20 sshd[17143]: Accepted publickey for gaogaogar from 336.345.1.625 port 1884 ssh2
Jun 19 16:04:15 rad-xen-vweb20 sshd[17143]: pam_unix(sshd:session): session opened for user gaogaogar by (uid=0)
Jun 19 16:08:38 rad-xen-vweb20 su: pam_unix(su-l:auth): authentication failure; logname=gaogaogar uid=501 euid=0 tty=pts/0 ruser=gaogaogar rhost=  user=root
Jun 19 16:09:00 rad-xen-vweb20 su: pam_unix(su-l:session): session opened for user root by gaogaogar(uid=501)
Jun 19 18:19:03 rad-xen-vweb20 vsftpd[19008]: pam_unix(vsftpd:auth): check pass; user unknown
Jun 19 18:19:03 rad-xen-vweb20 vsftpd[19008]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=blog rhost=openvz8.virtualsrv.com
Jun 19 18:19:03 rad-xen-vweb20 vsftpd[19008]: pam_succeed_if(vsftpd:auth): error retrieving information about user blog
Jun 19 18:19:07 rad-xen-vweb20 vsftpd[19011]: pam_unix(vsftpd:auth): check pass; user unknown
Jun 19 18:19:07 rad-xen-vweb20 vsftpd[19011]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=blog rhost=openvz8.virtualsrv.com
Jun 19 18:19:07 rad-xen-vweb20 vsftpd[19011]: pam_succeed_if(vsftpd:auth): error retrieving information about user blog
Jun 19 18:19:11 rad-xen-vweb20 vsftpd[19018]: pam_unix(vsftpd:auth): check pass; user unknown

secureを見てみると不正アクセスらしきアクセスの前後には中国のマカオからのアクセスとアメリカのフロリダからの不正アクセス失敗のログが残っていた。

香港・マカオの旅5日間行ってみたい。

しかしおかしいのは、この不正アクセスらしきアクセスは一発でわたしのIDとパスワードでログインしている。失敗した形跡がない。

どこからか情報が漏れているのか?

それとも、サーバーのレンタル元が作業で何かしたのか?

そんなことを考えたりした。

おかしい?なにかおかしい?

あああああああああ、そういえば一昨日からYahoo BBの調子が悪いのでDTI simで接続してたんだった。もしかしてこれ俺じゃね?

xferlogでアプロードされたファイルの確認やipアドレスを確認してみた。

俺だった。orz

紛れもなく自分のアクセスだった。orz

脱力した。1時間ほど無駄にした。

でも、不正アクセスじゃなくてよかった。

だいた、dti simがapyournetなんて怪しいリモートホスト使ってるから行けないんだよ!(激おこ)

と、人のせいにしてお茶を濁しておこう。

まあ、そういうわけで不正アクセスではなかったので作業に戻ります。

それから、相変わらずYahoo BBはまる三日まともにネットに繋がらないので窓から投げ捨てました。

でも、ネットは復活しました。今日からはWiMAXで行きます。もう、雨や風に悩まされる日々とはおさらばです。

その記事は後でまた書きたいと思います。

来年更新月にYahoo BBはやめる。

兎にも角にも、不正アクセスじゃなくてよかったです。そうなると色々面倒ですから。

タグ :