以下のLinuxコマンドのタイムスタンプが勝ってに書き換えられ、実行すると

セグメンテーション違反になってしまいます。
OSはCentOS5です。

考えられる原因を教えてください。

/bin/mknod
/bin/tcsh
/bin/taskset
/bin/tar
/bin/setfont
/bin/raw
/bin/nice
/bin/mv
/bin/mount
/bin/ksh
/bin/kbd_mode
/bin/grep
/bin/gawk
/bin/echo
/bin/dumpkeys
/bin/dbus-uuidgen
/bin/cpio
/bin/cp
/bin/chmod
/bin/basename

回答の条件
  • URL必須
  • 1人10回まで
  • 登録:2008/04/24 15:56:21
  • 終了:2008/05/01 16:00:02

回答(2件)

id:youas No.1

youas回答回数11ベストアンサー獲得回数32008/04/24 16:48:24

ポイント35pt

私もそのような状況になったマシンに遭遇したことがあります。

そのときは不正ログインをされ、サーバーが半分のっとられたような状態になっていました。。

ようは、アタックを受け進入され、不本意な状況にされておりました。

そのマシンは、外部からアクセスでき、InternetにつながるマシンからSSH、もしくはTelnetができる ということはありませんか?

netstat を行うと、どこかのサーバーとSSHでつながってる(勝手に)とか。。。


不正アクセスでなければ、yum等で自動Updateがかかっているとか。。でもセグメンテーション違反になるのは気になります。

/ver/log/messages にはなにかでていませんでしょうか。

(すいません、Webサイトはまともなものがありませんでした。http://yahoo.co.jp/

検討違いであれば申し訳ありません。

id:uniom

SSHは公開鍵認証を使用していますが、

そのような場合でも不正ログインされることがあるのでしょうか?

netstatは以下のようになっていました。(一部抜粋)

Foreign Address State

ftp.nara.wide.ad.jp:http CLOSE_WAIT

ftp.nara.wide.ad.jp:http CLOSE_WAIT

ns1.centos.org:http CLOSE_WAIT

ns1.centos.org:http CLOSE_WAIT

ns1.centos.org:http CLOSE_WAIT

aa2008011060d2a8f340.:60760 ESTABLISHED

aa2008011060d2a8f340.:62218 ESTABLISHED

aa2008011060d2a8f340.:62409 ESTABLISHED

aa2008011060d2a8f340.:63698 ESTABLISHED

aa2008011060d2a8f340.:60624 ESTABLISHED

/var/log/messageのセグメーテーション違反になるまでのログは以下です。

syslogd 1.4.1: restart.

Apr XX 03:49:10 xxxx auditd[2220]: Audit daemon rotating log files

Apr XX 10:39:49 xxxx auditd[2220]: Audit daemon rotating log files

Apr XX 20:09:01 xxxx auditd[2220]: Audit daemon rotating log files

Apr XX 17:22:56 xxxx saslauthd[20629]: do_auth : auth failure: [user=webmaster] [service=smtp] [realm=myhost.com] [mech=pam] [reason=PAM auth \

error]

Apr 23 18:16:56 xxxx kernel: FS-Cache: Loaded

Apr 23 18:16:57 xxxx kernel: FS-Cache: netfs 'nfs' registered for caching

Apr 24 12:44:53 xxxx kernel: chmod[25367]: segfault at 0000000008050000 rip 000000000804fffe rsp 00000000ff82ff60 error 15

以上の情報から何か分かりましたらお願いします。

2008/04/24 17:48:41
id:sterwars22 No.2

sterwars22回答回数363ベストアンサー獲得回数02008/04/26 02:17:50

ポイント35pt

なんかインストールしたのではないですか? http://www

id:uniom

何かをインストールしたタイミングでは何もおこらず、

突然何もしてない時間に、コマンドのバイナリーが変更されている感じです。

2008/04/30 21:30:08

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません