ハートの拒絶日記においてフィッシング詐欺サイトを開設されたサーバーの研究として公開されたレポート。
3月25日に立ち上げたサーバーが30日にはハッキングされてフィッシング詐欺に悪用されたという、展開の速さに驚いた。
起動に必要なファイルが消されていてリブートしても途中までしか実行しません。シングルユーザーモードでも起動できませんでした。これは気が付かれて再起動されたあとコンテンツを発見・分析させないためでしょう。とか、
侵入されたあとsshのデフォルトの22番以外にもう一つ別のポート番号(128番)で改造版sshdがxntpdという名前に偽装して立ち上がっています。このポート番号はルーターではフィルタリングされていませんでした。改造版sshdは正規のsshdとは異なる位置にある設定ファイルにより立ち上げるポート番号を指定するようになっているため侵入したサーバーのファイアウオールなどの状況に合わせて臨機応変に対応できるようになっています。てのも興味深かった。なるほど、なるほど。注意しましょう。
今日も身体に感じる余震が4回ほどあった....。まだまだ、かな。
【参照】
●ハートの拒絶日記 http://www.hart.co.jp/spam/nikki.html
┗フィッシング詐欺サイトを開設されたサーバーの研究 2005年4月4日