[電波とどいた?] - 2008/06a Diary■くらっきんぐ被害 (ネット) _ 某社さんに頼まれて、クラックされたというマシンをふにふに確認 してみたりする。とりあえず別サーバにミラーがあったんで、DNS は変更済み。……おかしい。そもそもファイルが全く改竄されて ない上に、進入の痕跡っぽいものがどこにもない。しかしながら、 実際にアクセスすると確かに改竄されたファイルがおちてくる。 で、ローカルからのアクセスだと改竄が入らないのと、 apache じゃないと改竄がおこらない、あと、いろいろ情報を あつめてると、他にも同様の現象が起こってるサーバがぽこぽこ ある様子。そしてそのサーバ群はみんな同じ某社のサブネット……。 某IRCのチャンネルでも相談してみて、結論としては、このサブネット、 ルータごと経路のっとられてね? 実際 arp がすごい勢いで書き換えられてました。 netstat や arp コマンドだとすぐ値が正常値に戻って
