Debian Server restarted after Compromise
感じとしては、
- すでにcrackされたアカウントを使ってログイン
- 権限昇格
という感じですね。例によって「うかつなユーザのマシン」が踏み台になったんじゃないかと。
ただ、今回は早かったですね。2時間足らずでgluck(クラックされたマシン)がオフラインになって、調査まで行われたようですが、以前の経験から検知→調査の時間が短縮されたのかな?
にしても、前回もgluckが侵入されてましたね。不幸なマシンだ…
感じとしては、
という感じですね。例によって「うかつなユーザのマシン」が踏み台になったんじゃないかと。
ただ、今回は早かったですね。2時間足らずでgluck(クラックされたマシン)がオフラインになって、調査まで行われたようですが、以前の経験から検知→調査の時間が短縮されたのかな?
にしても、前回もgluckが侵入されてましたね。不幸なマシンだ…