- - PR -
httpdというディレクトリが見えなくなる。
1
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-08-27 21:01
TurboLinuxServer6.5でWEBサーバを構築しているのですが、稼動して数日すると
httpという名前のディレクトリがlsコマンドで見えなくなる現象が発生しています。 例えば、/etc/httpdや、/var/log/httpdがlsコマンドで表示されません。 その副作用かわかりませんが、SSLでの接続が出来なくなります。 但し、cdにより、そのディレクトリに移動したりはできます。また、 「mv httpd httpdxx」のように名前を変更すると、lsで見えるという不思議な 状態です。 OSを再セットアップし、dumpによるバックアップをrestoreし1回解決したのです が、約1週間後に、また、同じ現象になってしまいました。 どなたか、この現象の心当たりがある方はいらっしゃいませんか? 何か、攻撃を受けているのでしょうか?ウィルス? /var/log/messagesや、/var/log/httpd内のログファイルには、特に怪しいログも 見つかりません。 よろしくお願い致します。 | ||||||||||||||||
|
投稿日時: 2004-08-28 00:39
気になりますね。
cd で移動できるからにはディレクトリは確かに存在しているわけで、 名前を変更すると見えるようになるということは上位ディレクトリに 読み取り許可が無いというようなことでもないわけで。 となると、ls が改竄されているのではないか?と思えるのですが... ls が改竄されているとすると ls で調べることには意味が無いです。 それから、他のコマンドやファイルも書き換えられている可能性が 高いですね。 | ||||||||||||||||
|
投稿日時: 2004-08-28 01:16
こんばんわ.
install し直してから contents だけ restore してみたら如何でしょう? あるいは,dump したものを restore する前に, /bin とか /sbin とか /usr を backup しておいて, それから restore してからさらに /bin 他の backup を restore するとか... | ||||||||||||||||
|
投稿日時: 2004-08-28 11:04
> あるいは,dump したものを restore する前に,
> /bin とか /sbin とか /usr を backup しておいて, > それから restore してからさらに /bin 他の backup を restore するとか... bin、sbinはrestoreしていませんが、/usr/bin, /usr/sbinは、インストール直後 の物を使うと、サービス(/etc/rc.d/init.dにあるヤツ)がことごとく起動しないので restoreした物を使ってました。 lsコマンドって何処にあったっけ?(月曜日出社して確認します。) 深く考えませんでしたが、両者(インストール後とrestore後)の違いを比較して見ます。 また、恥ずかしい話ですが、TurboLinuxServer6.5でOpenSSLを使ってますが、 OpenSSLの最新バージョン適用を行っていません。 ただ、 http://www.jpcert.or.jp/at/2002/at020006.txt に見られる兆候はありませんでした。 あ、ぽんすさんのコメントから考えると、lsやnetstat自体信じられないかも しれないわけでしょうか? また、とりあえず、トレンドマイクロのServerProtect for Linuxの体験版を セットアップし、それで、何か検出できれば、そのまま、購入してしまおうか? とも考えています。 | ||||||||||||||||
|
投稿日時: 2004-08-28 11:46
初めまして。Hayaと申します。
# 横から失礼致します m(_ _)m
Turbo Linux って Red Hat 系でしたっけ? だとすれば、 /bin/ls ではなかったかと・・・。 # 非常に曖昧ですが
コマンドが改ざんされていることを疑っておいた方がいいかと思います。 Tripwire でも使っていれば、はっきりするんですけどね。 # LKM(Linux Kernel Module でしたよね?)に小細工されてたりしませんかね?
各コマンドが改ざんされた可能性があるなら、あまりおすすめはしません。 お目汚し、失礼致しました。 では。 追記: kaz 様もふれていらっしゃいますが、
とのことですが、具体的にはどういうふうに「起動しない」のか、 明確にすると適切なアドバイスが得られるかと思います。 インストール直後に起動しないということですが、 「デーモンが起動するように設定していない」だけではないですよね? [ メッセージ編集済み 編集者: Haya 編集日時 2004-08-28 12:22 ] | ||||||||||||||||
|
投稿日時: 2004-08-28 12:01
こんにちわ.
ぽんす様/Haya様のご指摘を踏まえて. > bin、sbinはrestoreしていませんが、/usr/bin, /usr/sbinは、 /sbin や /bin は install したままのものなのでしょうか? install 直後にどのように動かないのか?不思議ですね. うろ覚えですが,ServerProtect for Linux って対応 kernel が決まっていて, kernel update 出来なかったのではないかと... | ||||||||||||||||
|
投稿日時: 2004-08-28 12:30
こんにちは。
本筋とは関係のないところに反応して恐縮なのですが、 確かに対応 Kernel が限定されているみたいですね。 # KHM(カーネルフックモジュール)だそうな・・・ ただ、リアルタイム検索と管理コンソールに関してのみ影響するようですが。 http://www.trendmicro.com/jp/products/file-server/sp-linux/evaluate/requirements.htm | ||||||||||||||||
|
投稿日時: 2004-08-28 13:20
こんにちは。
う〜ん、ウイルスに感染したとは限らないと思うのですが… バックアップファイルも信用ならない気がいたしますし… こちらのドキュメントが参考にならないでしょうか。 ・ Intruder Detection Checklist (CERT-CC さんより) (和訳だと… 福島大学 さんにあるようです!多謝) ちなみに、ls コマンドは fileutils パッケージに入っていますので、最新版を DL して入れ替えた方がよいと思います。 | ||||||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。