SSH不正侵入、観察日記 Vol.3

スペインから不正アクセスを記録した。

まずは、いつも通り動画をご覧いただこう。

[cowrie_log.gif]

rootユーザーでログインし、パスワードを変更。
その後、/usr/bin/last*を削除して逃げた。

何を削除しているのかチェック。するとログイン履歴を見るコマンドを削除しているようだ。

1
2
3
4
$ ls -l /usr/bin/last*
-rwxr-xr-x. 1 root root 19568  610  2014 /usr/bin/last
lrwxrwxrwx. 1 root root     4  731 19:58 /usr/bin/lastb -> last
-rwxr-xr-x. 1 root root 15392  36 14:32 /usr/bin/lastlog

lastlog について

lastlog コマンドはユーザーの最近ログインした履歴を見ることが出来るもの。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# lastlog
ユーザ名         ポート   場所             最近のログイン
root                                       **一度もログインしていません**
bin                                        **一度もログインしていません**
daemon                                     **一度もログインしていません**
adm                                        **一度もログインしていません**
lp                                         **一度もログインしていません**
sync                                       **一度もログインしていません**
shutdown                                   **一度もログインしていません**
halt                                       **一度もログインしていません**
mail                                       **一度もログインしていません**
operator                                   **一度もログインしていません**
games                                      **一度もログインしていません**
ftp                                        **一度もログインしていません**
nobody                                     **一度もログインしていません**
avahi-autoipd                              **一度もログインしていません**
dbus                                       **一度もログインしていません**
chrony                                     **一度もログインしていません**
test            pts/0    00-00-11-11.pp 月  8月 10 18:21:06 +0900 2015

-u オプションで指定したユーザーの直近のログインログを見ることが出来る。

1
2
3
 lastlog -u postfix
ユーザ名         ポート   場所             最近のログイン
postfix                                    **一度もログインしていません**

-t days daysをしていることで、指定したdays以内にログインしたユーザーの情報を得ることが出来る。

1
2
3
$ lastlog -t 100 | more
ユーザ名         ポート   場所             最近のログイン
test            pts/0    00-00-11-11.pp 月  810 18:21:06 +0900 2015