- - PR -
Port623/TCPについて
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2006-08-28 23:42
お世話になってます。
サーバーCentOS4.3 mysqlサーバーを構築しております。/var/log/mysqllogが膨大な量になり、本体を削除しても、復活しmysqldも起動しない状況でした。 セキュリティはFortiGateにより設定をしておりました。一応rkhunter,chkrootkit.clamavもインストール設定済みです。 nmapでポートをチェックしたところ、623/TCP unkown 1016/TCP unknownと気になるポートがオープンでした。/etc/serviceには該当プログラムはありません。 一応安全のため、サーバーは停止しております。 web検索では、Trojanの可能性があるということでしたが、mysqldlogの肥大化と関係あるのでしょうか? | ||||
|
投稿日時: 2006-08-29 00:05
netstat -anpかlsofを実行すれば、
該当ポートを誰がListenしているかは分かると思います。 [ メッセージ編集済み 編集者: F/A 編集日時 2006-08-29 00:06 ] | ||||
|
投稿日時: 2006-08-29 00:12
こんばんわ.
それで,log に何が書き込まれているか?くらいは確認されていますか? 「本体」とは log file を削除したということでしょうか? daemon が起動しないのも log に何か書かれていませんか? | ||||
|
投稿日時: 2006-08-29 00:38
早速の返信ありがとうございます。
lsof -i:623 1016ともに試したところ、何も表記はされませんでした。 logの中味については、不思議なことに tailでもcatでも表示できませんというより、何もないというような応答です。/var自体がすでに、dfコマンドで確認したところ100%になってしまってます。 ですが、いくら他のファイルを削除しても、98%とかの表示になりません。サーバーを再起動後に、nmapをかけてみましたらすっかり623/TCP と 1016/TCPは消えてました。 明日にでもmysqllog.rpmsaveをもう一度確認してみます。 色々検索したなかで、mysqllogと623/TCP関係の記事はあったのですが、未解決のようでした。 http://forums.mysql.com/read.php?34,29079,29079 [ メッセージ編集済み 編集者: たかはし 編集日時 2006-08-29 00:41 ] | ||||
|
投稿日時: 2006-08-29 21:55
こんばんわ、早速確認してみたところ、ログの内容は/varが圧迫され書き込みできないという内容のエラーの連続でした。
一応Fortigateの設定をさらに強固にして、OSの再度インストールをすることにしました。どうやら、RTB666というTrojanらしきというところまではわかりました。 引き続き、port623について調査します。 ありがとうございました。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。