Debian 5.0をクリーンインストールして、メールサーバ・Webサーバの機能をとりあえず復旧。やれやれ。我ながら情けない。誰かに被害を及ぼしてたとしたら、ゴメンよ…。

で、何があったかというと、phpMyAdminのセキュリティーホール(情報源その1・その2)から侵入されて、root権限奪われて、画像のような変なツール(サーバのデータを抜き取ったり改ざんしたり他への踏み台にできそうな感じorz)を仕込まれた模様。ツールのファイルのタイムスタンプからすると、1/20にやられたっぽい。確かにそのぐらいの時期からサーバの動作が怪しかった気がする。その辺すら改ざんされたら断定できないけど…。

それから、netstatとかlsとかの普通のコマンドの動作がおかしくなってた(セグメンテーションフォルトで落ちたり環境変数のエラーが出たり…)ので、上のツールを足がかりに他にも何か突っ込まれてる気配。

それ以上の詳しいことはまだ分からんけど、とりあえず汚染されたHDDは読み取り専用で温存しておいて、別のHDDで復旧。後日ログでも調べることにするか…。

ところで、Debianを入れなおすためにネットワークインストール用のCDイメージ(debian-504-i386-netinst.iso)を使おうと思ったんだけど、焼いても焼いても認識できないCD-Rになっちゃう(手持ちのドライブの中では外付けDVDマルチだけしか読めない)ので、DVDイメージをがんばって落として(MGOのアップデート以外で初めてBitTorrent使ったw)やっとインストーラの起動に成功したりとか、1回目のインストールではtaskselでアレもコレも入れたせいか、インストールにえらい時間かかった上にしばらく使ってるとハングアップする(多分gnomeあたりのX Window環境がウチのPCと相性が悪いんじゃないかな)とか不安定だったりで、2回目のインストールでやっとマトモに使える環境なった。あとはsambaと印刷系かな。

とりあえず、phpMyAdminは時々使うのでやっぱり入れざるを得ないんだけど、アクセス制限をちゃんとかけといた。phpMyAdminのバージョンとしてはNG世代っぽいけど、Debianのページには「修正済」となってるから、パッチでも当たってるのかな。

それから、パスワードファイルを奪われてるかもしれないので、長年使ってたパスワードを変更。覚えなおすのが大変だ…。

そうそう、ブログが重かったのは、攻撃とは直接は関係なかったかも。Neucleusの、メンテの放棄されたプラグインでアクセスカウンタを表示してたんだけど、こいつのDBが肥大化しとった影響が大きかったみたい。カウンタを外したらずいぶん軽くなった。

と言いつつも、タイム一覧とかサーキットのスケジュール一覧も軽くなった気がするので、やっぱり何かおかしかったんだと思う。orz