현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

2달전에 해킹을 당한 서버가 있습니다...

gugudan의 이미지
글쓴이: gugudan / 작성시간: 수, 2005/05/18 - 1:18오전

그떄 당시 특정 게정의 파일이 완전 지워졌고..
그래서 다시 복원을 한 상태이고..
이상한 프로세스는 죽여 놓은 상태입니다..

그러다 오늘 이상한 증세를 발견했습니다.
ls를 하닌까 보여지지 않는 디렉토리가 있는겁니다.
분명 디렉토리는 있습니다.
cd로 하면 이동을 하거든요..
그런데 이상하게 ls -al을 이용해도
find를 이용해도 보이지 않습니다.

rootkit이 깔린거 같은데..
혹시나 해서 다른 서버의 ls를 가져와서 실행을 해도
역시나 보이지 않습니다.

가장 좋은 방법은 서버를 다시 설치하는 것이 가장 좋은 방법
이라는것은 알고 있지만 그럴 수 없는 상황입니다.

설치를 다시 하지 않고..
어떻게든 복원을 하고 싶습니다.
방법좀 조금만 알려주십시요..

Forums: 
설치 및 활용 QnA
익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2005/05/18 - 1:28오전

ls 와 ps 등이 모두 변조 되었을 가능성이 매우 큽니다.

OS를 다시 설치하시는게 좋겠지만, 상황이 여의치 않다면

최소한 ls 와 ps 가 들어있는 패키지를 다시 설치하세요.

그러면 아마 안 보이던 프로세스가 있을겁니다.

찾아서 지우시고. 재설치가 안된다면 chattr 쪽으로 알아보시길.

chronon의 이미지

글쓴이: chronon / 작성시간: 수, 2005/05/18 - 2:50오전

대충 이럴때면 login 할때 패스워드 넣는 것도 겁이 나더군요.
키로그 같은 것이 돌고 있을 것 같아서 도저히...

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2005/05/18 - 3:12오후

그래도 여전히 파일이 보이지가 않네요..

대체 어떻게 이렇게 완벽하게 숨길수가 있는건지 모르겠네요..

cacti의 이미지

글쓴이: cacti / 작성시간: 수, 2005/05/18 - 3:25오후

이렇게요
echo * 

[root@www bin]# echo *
arch awk basename bash bash2 cat chgrp chmod chown consolechars cp cpio cpujob csh cut date dd df dmesg dnsdomainname doexec domainname echo ed egrep ex false fastdecay fgrep gawk gawk-3.1.0 gettext grep gtar gunzip gzip hostname igawk iojob ipcalc kill ln loadkeys login ls lsmod mail mkdir mknod mktemp more mosrun mount mt mv netstat nice nisdomainname nodecay nomig pgawk ping ps pwd red rm rmdir rpm runhome runon rvi rview sed sh sleep slowdecay sort stty su sync tar tcsh touch true umount uname usleep vi view ypdomainname zcat

/bin/echo 파일까지 변조되었다면 모르겠지만
만약 아니라면 어설프게나마 파일 리스트는 확인할 수 있을겁니다.
도움이 되었으면 좋겠네요 ^^

-----
언제나 삽질중 ㅡㅡ^

morris의 이미지

글쓴이: morris / 작성시간: 수, 2005/05/18 - 3:33오후

커널 루트킷등이 설치되었으면

충분히 그럴 가능성이 있습니다.

stand alone shell을 써서 확인하구

checkrootkit등으로 검사한다음에

자료만 남기고 서버를 다시 밀었다가 까는게 최선이죠.

codebank의 이미지

글쓴이: codebank / 작성시간: 수, 2005/05/18 - 3:36오후

만일 fileutils(혹은 binutils)를 다시 설치해도 ls나 ps시에 원하는 결과를 얻을 수
없을 경우라면 가장 크게 의심해야하는 부분은 shell입니다. 즉, bash나 csh이
바뀌어 있을 수가 있습니다.
가능하면 shell을 다시 설치하거나 /etc/inittab에서 도 바꿔 보시는게 어떨까요?
또한 /etc/passwd파일에 자신이 지정한 shell이 정확하게 지정되어있나를 살펴보시고요.
(가능하면 다른 shell -csh, tcsh등-을 지정해서 사용해 보시기 바랍니다.)
또한 /bin/bash, /bin/csh, /bin/tcsh등등의 크기와 날짜를 동일한 다른 서버의
크기와 날짜(다른 파일들과 동일한 설정이 되어있어야 합니다.)등을 비교해 보는것도
중요합니다.

만일 /bin에 있는 다른 명령어 파일들과 설치날짜가 틀리거나 다른 서버의 동일한
명령어가 크기가 다르다면(동일한 버젼일때...) 해당 파일을 다시 설치하는 것이
중요합니다.
이후 시스템을 리부팅해주는 것도 좋긴합니다만... 불가능하다면 새로접속을 시도
해보면 됩니다. 설치가 잘되었다면 새로 설치된 파일로 접근이 가능할 겁니다.
만일 이전과 똑같은 현상이 일어난다면 좀더 복잡한 즉 /sbin/rc같은 파일이
바뀌어 있을 수도 있습니다. 이파일도 날짜와 크기를 확인해보는 것도 좋을겁니다.

------------------------------
좋은 하루 되세요.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2005/05/18 - 4:14오후

1. echo *를 이용한 파일 체크..
역시 없다고 나옵니다..
2. /bin/실행파일들..
사이즈는 똑같은데 날자가 바뀌어 있는거 같습니다.
shell을 바꿔보았지만 여전히 디렉토리는 보이지 않고
cd를 이용하면 들어갑니다.
bash를 다시 설치할려면 기존에 있는 bash rpm을 제거를 해야 하는데
rpm -e를 하닌까 의존성 떄문에 지워지지가 않습니다.
fileutil은 업데이트를 이용해서 설치를 했는데
rpm -e를 이용해서 rpm을 삭제하는것이 아닌가요?

산넘어 산이네요..

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2005/05/18 - 4:25오후

ls 프로그램을 만들어서 돌려봤지만 여전히 나오지 않습니다.

ftp를 이용해서 접속을 해도 보이지 않습니다.
해커가 솜씨가 너무 좋은거 같네요..

ㅜ.ㅜ

LispM의 이미지

글쓴이: LispM / 작성시간: 수, 2005/05/18 - 5:21오후

음..3 wrote:
ls 프로그램을 만들어서 돌려봤지만 여전히 나오지 않습니다.

ftp를 이용해서 접속을 해도 보이지 않습니다.
해커가 솜씨가 너무 좋은거 같네요..

ㅜ.ㅜ

그보다는 관리자의 관리가 허술했던 것 아닐까요?

위에서도 언급된 것 같은데 rkhunter 같은 루트 킷 체크 프로그램 ftp 한후 잽싸게 네트워크에서 선 빼세요. 다음 프로그램 돌려보고 이상유무 체크하고 백업본을 다시 설치하고 다시 rkhunter 돌리고... 이짓을 아무것도 안 걸릴 때까지 하는 방법외엔 없을 것 같군요.(백업이 없다면 갈아엎는 것이 그중 가장 안전할 것 같군요) 제대로 관리하였다면 거의 침입 즉시 알수있었을 텐데... 새로 깔아도 전과 동일하게 관리하게 되면 십중팔구 똑같은 녀석이 침입할 것입니다.

http://lisp.or.kr http://lisp.kldp.org - 한국 리습 사용자 모임

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.