현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

해킹당한것 같습니다. 조언을...

익명 사용자의 이미지
글쓴이: 익명 사용자 / 작성시간: 목, 2002/06/27 - 5:16오후

안녕하세요.

어제 새로 한컴 리눅스 2.0을 깔고 외부에 일을 나가는 바람에 FTP와 텔넷
을 열어놓은 상태로 퇴근하였습니다.
출장지에서 홈페이지를 새로 세팅을 하고 하루가 지나서 오늘 출근해서 보
니 만들지도 않았던 계정두개가 생겨있고 cat /etc/passwd를 해보니 이 계
정 두개는 패스워드 섀도우도 안되어있고, 계정 디렉토리도 없더군요(서버
관리를 혼자서 하기때문에 다른 사람이 만들었을리도 없고). ps 명령도 안
먹는군요.(command not found로 나타납니다)
passwd 파일은 읽기전용으로 바뀌어져 있더군요.(단 12시간 사이에 이런
일이.. 흑흑..)
일단 chattr로 passwd파일 복구를 하고 계정들을 삭제하였습니다.
그런데 /var밑에 ftp라는 디렉토리가 있고 여기에 있는 파일들이
rk1.tgz, linsniffer, secure, sense, installps같은것들이 전부 소유자
루트에 퍼미션이 755로 잡혀있군요. 생성날짜도 6월 26일 밤 9시경. 아마
심어놓은 파일인것 같은데... 일단 600으로 퍼미션은 변경시켰습니다만 어
떻게 처리해야할지 고민입니다.

아시는 분 대처법을 좀 알려주세요. 감사합니다.

Forums: 
설치 및 활용 QnA
익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 금, 2002/06/28 - 2:14오전

root kit 이라고 하는것 같군요.

(시스템의 상태를 잘 모릅니다만..)
아마 컴파일을 다시 해서 파일들이 많이 바뀌어 있을겁니다. 날짜는 예전
그대로이고 사이즈만 바뀌어 있을겁니다.(ls, ps, chmod, chown, ftpd,
telnetd..)
Script이니까 잘 보시고 어떤 파일들이 바뀌었는지 확인한 다음 덮어 써버
리면 됩니다. 어떤 프로그램이 새로 깔렸는지 어떤 포트가 열려있는지 반
드시 확인하고 닫아버리면 큰 문제는 없습니다.

su 패스워드 바꾸시고..

P.S. 상태를 봐서 조금 악성인것 같습니다만..

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 금, 2002/06/28 - 5:05오후


리눅스 다시 설치하시면됩니다..

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 금, 2002/06/28 - 5:57오후

그럼 또 당할걸요. +_+

원인을 제대로 알아야죠 ^^

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 토, 2002/06/29 - 12:56오전

그렇게 하면 안됩니다.
파티션 Format을 다시 하면 되기야 하지만 그런 무식한 짓은 권하질 않습
니다.

원인을 모르면 반드시 같은 방법으로 당하게 되어있습니다.

find /dev -type f

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 토, 2002/06/29 - 9:35오전


ㅡ,.ㅡ;;;

무..무....... 식한 짓.......ㅡㅡ;;쩝.

한번해킹당한서버를 포멧안하고 어떻게 백도어를 다 막았다고 장담하죠?

그리고 해킹의 원인은 이미 질문자도 알고 있군요..

저같으면 반드시 포멧합니다. 그리고 같은 실수를 반복 하지 않아야 된다
고 보는데요..

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 토, 2002/06/29 - 3:16오후

글쓰신 분은 해킹의 원인을 말한게 아니라 해킹의 결과를 나열하고 있습니
다. Root Kit이 어디로 들어왔는지 알만한 사람이라면 이런 질문을 했을리
도 없습니다.

Root Kit은 진행과정을 알 수 있습니다.
백도어가 어디에 있는지 찾을 수 없는 사람이라면 더이상 말할 필요도 없
습니다만 리눅스는 윈도우와 완전히 다르다는 것을 말씀드리고 싶습니다.

논쟁하고 싶지는 않지만 한마디라도 도움이 되는 말씀을 해 주셨으면 좋겠
습니다. 포맷하라는 말만 빼고..

제 경험입니다만 BIND 를 한번 check해 보시길 바랍니다.
알려전 버그문제로 당한적이 있습니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2002/07/02 - 11:03오전

님의 유식함에 아무도 못당할듯 합니다....ㅋㅋ

하지만 유식함에 결함이 있는것 같아.. 한마디하면..

해킹 방법이 정해 진것도 아니고.. 그렇게 속단하다니..

특정 파일등에 숨어 일정시간에만 문을 열어주는 ... 이런것들은

체크한다고 나올까.. 바이너리 코드 분석하지 않으면 모를껄요 ㅋㅋ..

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2002/07/02 - 12:50오후

저땜에 괜히 몇분이 감정 상하신 것 같아 죄송합니다. 저의 무식이 죄지
요;; ㅠㅠ

일단 접근경로를 파악해본 결과 미처 제대로 셋팅하지 못했던 익명 FTP를
이용해서 루트킷을 설치한 것이 아닌가 추측이 됩니다.(루트킷이 /var/ftp
에 설치되어 있던 관계로 추정한 만고 제 생각입니다만;;)
제 지식만으로 있는 백도어를 다 찾아내서 막는것은 어렵다고 판단, 일단
리눅스 2.2로 새로 설치를 할 수 밖에 없었습니다.
로그파일들만 모아서 별도로 백업을 받고 새로 설치를 했습니다.
그리고 원인으로 추정되는 각종 데몬과 포트들을 상당수 막아버렸습니다.
향후는 매일 로그점검을 하면서 혹시라도 모를 무단침입에 대비하는 수 밖
에 없지 않나 생각이 됩니다.
가르쳐 주신 분들께 감사드립니다. 기분들 푸시구요...

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.