10/02/12 11:21:59
>>216
>サーバが直接やられたってこと?
その通り。。
ガンブラーが登場する3年以上前から24時間全プロセスの監視してて
見慣れないexe実行を実行した形跡はログに無かったから確定してる
>$axxxxxxxx=xxxxxx;
この伏せた部分はFTPのIDとパスワードなんだが
自分のじゃなくて同じ鯖を利用している他人のIDとパスだった
うちの鯖はFTPのIDが英字3文字+数字4桁で規則性があって、
例えば始めに登録した奴がabc0001ならその次にアカウント登録した奴はabc0002になるって感じの連番
さらにはパスが適当な5桁のものに一定期間ごとに変わる(セキュリティ対策)って仕様だから
総当たりでいけば比較的簡単にIDとパスがわかる。
そんで今回自分はその5桁のまま変更していなかったからパスも短ければIDも規則性で簡単に推測できるって鯖に進入されたってこと
放置サイトでも油断できないな