패키지들을 항상 업데이트해도 루트 계정이 뚫린다??

달파란의 이미지

linux-sarang.net 에 어떤 분이 다음과 같은 글을 올리셨더군요.

http://linux-sarang.net/board/?p=read&table=qa&no=209068&page=3

Quote:
제가 운영중이던 작은 웹호스팅용 서버중 한대가 크랙을 당했습니다.

크래커는 사용자 디렉토리의 모든 .php .html 파일을 변경한 다음
백도어를 심었습니다. 아래는 마지막 bash_history 내용입니다.

[..중략..]

이 서버의 버전은 RH9 이구요 시스템은 항시 up2date 로 업데이트 되고 있었습니다.

RAID 디바이스 드라이버 문제 때문에
커널 버전을 2.4.20-8smp 로 유지하고 있었고
대신 /proc 의 퍼미션을 700으로 유지했었습니다.

이외엔 짚히는 곳이 없어서 조금은 막막하기에 이곳에 문의드려 봅니다.

크래커는 batistuta 라는 닉네임을 사용했습니다.

root 패스워드도 항시 12자 이상으로 유지했고
telnet 은 아예 막아놨었고 su는 관리용 아이디 하나만 허가했고
ftp로 루트 로그인 못하게 하는 등등...
보안소식도 나름대로 꼼꼼히 챙겨보고 있었는데..
최선을 다했다고 생각했는데 이렇게 뚫리니 착찹합니다.

레드햇 9으로 up2date 를 이용해 항상 최신 패키지로 업데이트하고
불필요한 서비스는 막아놓는 등의 조치를 한 서버들도 root 권한을 빼앗기는 사태가 발생하는 경우가 있는 것으로 알고 있습니다.

부지런히 패키지 업데이트해도 뚫린다니 남의 일 같지가 않습니다. :?

이런 경우는 어떤 취약점때문에 root 권한을 빼앗기게 되는 것일까요?
이런 경우와 관련된 경험담이나 확인해야할 점을 아시는 분 계신지요?

cocas의 이미지

얼마 전에 발표된 twiki 취약점을 이용해서 루트 획득이 가능했다고 합니다. ( 아파치 권한이 떨어질 거 같은데 루트가 떨어지나 보네요. 확실하지는 않습니다. ) 제가 아는 한 서버도 실제로 저 과정을 통해 뚫렸고요. 이게 아닐까 싶습니다.

dhunter의 이미지

저도 웹+PHP 스크립쪽 어택에 한표입니다.

실제로 그렇게 무너지는 웹서버 보기도 했고요.

웹 스크립트 프로그램 역시 신경 쓰기 쉽지 않아도 치명적인 백도어입니다. 서버 관리자라면 PHP 설정등을 치밀하게 잡아 막아내려는 노력이 필요합니다.

from bzImage
It's blue paper

galien의 이미지

바티스투타가 어느나라 선수였더라...

dyaus의 이미지

galien wrote:
바티스투타가 어느나라 선수였더라...

아르헨티나 선수였죠..
지난 월드컵때까지는 아르헨티나 대표적인 포워드 였구여..

@ php 4.3.9에 뭔가 문제가 있었다고 본것 같군요.

ydhoney의 이미지

왜 갑자기 바티스투타 이야기가 나오지요? -_-a;;; (뭔지 잘 모르겠,.)

그나저나 이젠 kldp에도 DJ달파란이 나오는군요. 달파란과 볼빨간을 참 좋아라 했었는데..

망치의 이미지

항상 최신으로 유지해도 뚫린다..라..

참 난감하네요.. 착찹하기도 하고..

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

jj의 이미지

Local user들을 100% 믿을 수 있을지도 고려사항인듯.

--
Life is short. damn short...

vacancy의 이미지

웹 쪽으로 뚫렸을 가능성이 가장 높다고 봅니다만,

사실 커널 업데이트도 꾸준히 해주긴 해줘야 하지 않나요.

tasy의 이미지

저도 웹프로그램의 결함으로 인한 크래킹에 한표입니다.
아무리 잘 막아도 그 부분의 결함은 프로그램단위로 손을 봐야 하는거라서..
특히, 제로보드 등의 공개 프로그램들에 결함이 많이 발견되는 것은 조심해야 할 것 같습니다.

사실 php구동의 문제기도 하죠..

---------
Byeongweon Moon
http://tasy.jaram.org/blog
사랑하면 알게 되고 알면 보이나니 그때에 보이는 것은 전과 같지 않으리라.

Risty의 이미지

레드햇 리눅스의 업데이트는 한참 전에 중지되지 않았나요? 제 기억으로는 RHEL을 제외한 옛날 레드햇 리눅스 버전은 모두 작년 초중반쯤 지원을 중단했던 것 같은데요.

제가 잘못 알았거나, 중요한 패키지는 업데이트가 꾸준히 되고 있는지도 모르겠습니다만, 만약 업데이트가 중단됐다면 뚫려도 이상할 것은 없지요.

jedi의 이미지

root 암호를 단순한 것으로 설정하면 아무리 업데이트를 완벽하게 해도 안되죠.
요즘 이런 공격 상당히 많던데....

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

익명 사용자의 이미지

웹 어플리케이션이 뚤리고 방화벽에서 특별히 outbound에 대해서 rule을 엄격하게 하지 않으면 nobody나 www-data권한을 딸 수 있고 여기서 kernel exploit 등으로 local 공격을 하면 root도 딸 수 있습니다.

dg의 이미지

https://rhn.redhat.com/errata/RHSA-2003-392.html
이게 아닐까요??
로컬유저 권한을 따내면 루트 따내는거는 더 쉬운게 아닌가 싶습니다.
패키지만 최신이라고 되는게 아니라
php스크립트나 커널도 신경 써야 되겠네요..

단풍의 이미지

달파란 wrote:
linux-sarang.net 에 어떤 분이 다음과 같은 글을 올리셨더군요.

http://linux-sarang.net/board/?p=read&table=qa&no=209068&page=3

Quote:
제가 운영중이던 작은 웹호스팅용 서버중 한대가 크랙을 당했습니다.

크래커는 사용자 디렉토리의 모든 .php .html 파일을 변경한 다음
백도어를 심었습니다. 아래는 마지막 bash_history 내용입니다.

[..중략..]

이 서버의 버전은 RH9 이구요 시스템은 항시 up2date 로 업데이트 되고 있었습니다.

RAID 디바이스 드라이버 문제 때문에
커널 버전을 2.4.20-8smp 로 유지하고 있었고
대신 /proc 의 퍼미션을 700으로 유지했었습니다.

이외엔 짚히는 곳이 없어서 조금은 막막하기에 이곳에 문의드려 봅니다.

크래커는 batistuta 라는 닉네임을 사용했습니다.

root 패스워드도 항시 12자 이상으로 유지했고
telnet 은 아예 막아놨었고 su는 관리용 아이디 하나만 허가했고
ftp로 루트 로그인 못하게 하는 등등...
보안소식도 나름대로 꼼꼼히 챙겨보고 있었는데..
최선을 다했다고 생각했는데 이렇게 뚫리니 착찹합니다.

레드햇 9으로 up2date 를 이용해 항상 최신 패키지로 업데이트하고
불필요한 서비스는 막아놓는 등의 조치를 한 서버들도 root 권한을 빼앗기는 사태가 발생하는 경우가 있는 것으로 알고 있습니다.

부지런히 패키지 업데이트해도 뚫린다니 남의 일 같지가 않습니다. :?

이런 경우는 어떤 취약점때문에 root 권한을 빼앗기게 되는 것일까요?
이런 경우와 관련된 경험담이나 확인해야할 점을 아시는 분 계신지요?

Red Hat Linux 9:

SRPM:
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/kernel-2.4.20-42.9.legacy.src.rpm

i386:
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-2.4.20-42.9.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-BOOT-2.4.20-42.9.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-doc-2.4.20-42.9.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-source-2.4.20-42.9.legacy.i386.rpm

i586:
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-2.4.20-42.9.legacy.i586.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-smp-2.4.20-42.9.legacy.i586.rpm

i686:
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-2.4.20-42.9.legacy.i686.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-bigmem-2.4.20-42.9.legacy.i686.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-smp-2.4.20-42.9.legacy.i686.rpm

현재 레드헷 9 커널이 2.4.20-42.9 커널인데 사용하신 커널 버전이 낮은거 같네요.
RAID 때문에 커널 버전을 구버전으로 사용 하신게 화근인거 같네요.

kernel exploit

익명 사용자의 이미지

분면 제로보드나 테크노트, PHPbb 로 인한
로컬 계정 누출에 커널버젼이 낮아

smp 를 이용한 kernel exploit 으로 이한 해킹입니다.

커널을 업하시고

웹호스팅 서버의 취약 CGI를 패치하시기 바랍니다.