현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

루트킷! 어떻게 해결해야할지 ...

y93161의 이미지
글쓴이: y93161 / 작성시간: 토, 2005/06/11 - 9:30오전

요즘 rootkit때문에 미치겠습니다.
여기 게시판에 검색을 해봐도 저같은 경우는 없더군요.

전 래드햇9를 쓰고 있는데 rootkit에 항상 걸립니다.
다른 사용자분들도 그러는지 궁금합니다.
이 상태가 오면 ls도 안먹고 모든 명령어들 감염된 상태라서
아무짓도 못하겠더군요. 그래서 다 포멧하고 다시 깔았습니다.
그러고 몇시간 지나면 아무짓도 안했는데 다시 걸리더군요.ㅠ.ㅠ
방화벽을 최상급으로 해도 마찬가지입니다.

다른 래드햇9 사용자분들은 이런 현상 없나요?
그래서 커널을 업그래이드해도 마찬가지라서 아싸리 페도라 3를 다운받아 설치했습니다.

페도라3는 더 심하더군요 ㅠ.ㅠ
그냥 설치해서 랜선만 꼽으면 1시간 남짓해서 루트킷에 걸립니다.
처음설치시 방화벽은 최상으로 해놓고 FTP나 다른 포트들은 닫힌
상태에서도 걸립니다.
그래서 어제 3번을 인스톨했는데 3번다 마찬가지더군요.
루트킷에 걸렸는지는 체크하는 툴은 있던데 그걸 막는 툴은 없나요?

허무합니다. ㅠ.ㅠ

Forums: 
설치 및 활용 QnA
익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 토, 2005/06/11 - 9:35오전

y93161 wrote:
요즘 rootkit때문에 미치겠습니다.
여기 게시판에 검색을 해봐도 저같은 경우는 없더군요.

전 래드햇9를 쓰고 있는데 rootkit에 항상 걸립니다.
다른 사용자분들도 그러는지 궁금합니다.
이 상태가 오면 ls도 안먹고 모든 명령어들 감염된 상태라서
아무짓도 못하겠더군요. 그래서 다 포멧하고 다시 깔았습니다.
그러고 몇시간 지나면 아무짓도 안했는데 다시 걸리더군요.ㅠ.ㅠ
방화벽을 최상급으로 해도 마찬가지입니다.

다른 래드햇9 사용자분들은 이런 현상 없나요?
그래서 커널을 업그래이드해도 마찬가지라서 아싸리 페도라 3를 다운받아 설치했습니다.

페도라3는 더 심하더군요 ㅠ.ㅠ
그냥 설치해서 랜선만 꼽으면 1시간 남짓해서 루트킷에 걸립니다.
처음설치시 방화벽은 최상으로 해놓고 FTP나 다른 포트들은 닫힌
상태에서도 걸립니다.
그래서 어제 3번을 인스톨했는데 3번다 마찬가지더군요.
루트킷에 걸렸는지는 체크하는 툴은 있던데 그걸 막는 툴은 없나요?

허무합니다. ㅠ.ㅠ

신기하네요. 정말 이런가요?
전 한번도 당해본적이 없어서 모르겠지만, 무슨 이유가 있는 것인지 궁금하네요.

루트킷이 어떤 경로로 설치가 되는지 살펴보는 것이 좋을 듯 하네요.
외부에서 버그를 통해서 들어온 것인지, 아니면 내부사용자에 의한 것인지 확인해 보는 것이 해결하기전에 우선 확인할 부분인것 같습니다.

viper9의 이미지

글쓴이: viper9 / 작성시간: 토, 2005/06/11 - 12:48오후

저도 정말 신기한데요.

설치된 상태에서 아무것도 안했는데 루트킷에 감염이 됐다라... 설치된 직후라면 루트를 빼고는 아무도 접속이 안될텐데.....흐음..... 아무 서버데몬도 없고 쉘접근도 불가능한데 루트킷에 걸린다라......정말 신기하네요.

다른 시스템이 문제가 아니라 감염된게 확실한가요? 저도 레드햇9를 씁니다만 파이어월 정책을 No Firewall로 며칠 정도는 내버려둬봤는데 아무 이상 없던데요......

텔넷, SSH, FTP 데몬 다 지워버리시고 로컬에서만 작업해보세요.

루트 비밀번호를 항상 고정으로 해놓으신건 아닌가요? 한번 빼돌린 암호를 계속 써먹기에 계속 걸리는건 아닐런지..... 루트 암호도 복잡하게 바꿔버리시구요.

루트킷검색 프로그램 깔고 IPtables로 포트 다 닫아버리시구요. 포트센트리 같은 툴로 포트스캐닝도 차단/감시하구요...

누군가 한명이 계속 공격해온다면 금방 잡을 수 있을듯합니다. 해당 IP는 방화벽에서 완전히 DROP시켜버리면 될거 같은데......

그래도 걸린다면...... 시스템이 뭔가 문제가 있네요...

mirr의 이미지

글쓴이: mirr / 작성시간: 토, 2005/06/11 - 1:02오후

어쩌면 루트킷이 아닌 하드 오류등 여러가지 I/O 문제로 인한
하드웨어적 오류가 원인일 수도 있습니다.
침입이 아닌데 루트킷이 걸리는건 불가능하며,
초기화 하고, 설치 직후인 상태에서 바로 루트킷이 설치돼었다는것은
매우 납득하기 힘든 상황이거든요...

루트킷에 설치됐다고 해서 무조건 ls등 명령어들이 막히는게 아니랍니다.
백도어로 다시 접속할 수 있게하고, 자신이 접속해있는것을 숨기는,
침입의 흔적을 감추는 것이 루트킷인데 무조건 오류를 일으킨다는 것은
루트킷이라기보단 뭔가 입출력 에러 및 하드등의 하드웨어 오류라고 생각돼는군요..

재 설치후, 인터넷 접속을 차단한 상태에서 사용해보시길 바랍니다.
아니면 I/O 상태나 기타 여러가지 상황을 확인해 보시길 바랍니다.

내 마음속의 악마가 자꾸만 나를 부추겨.
늘 해왔던 것에 만족하지 말고 뭔가 불가능해 보이는 것을 하라고 말야.

y93161의 이미지

글쓴이: y93161 / 작성시간: 토, 2005/06/11 - 1:02오후

root 비밀번호도 어려운걸로 바꿔서 해보았습니다.
시스템 모니터를 패널에 놓고 보고 있으면
어느 순간에 processor use가 올라갑니다. 거의 100%...
그러더니 ls, 및 ps 등 전부 사용할 수 없게 되더군요.

어떤경로도 들어오는지 잘 모르겠어요.
ftp, telnet 데몬도 전부 실행하지 않은 상태였거든요.

그리고 여기 네트워망이 내부 망인데.. ㅠ.ㅠ
참 그리고 데스크탑하고 노트북에서 해봤는데 둘다 마찬가지더군요.
이런 황당한일이...

jedi의 이미지

글쓴이: jedi / 작성시간: 토, 2005/06/11 - 1:13오후

빨간모자 9는 현재 관리기 안되고 있으니 많은 보안버그가 있겠죠.

관리가 되고 있는 패도라 같은 베포판으로 바꾸세요. 안그러면 크래킹 당하는 것은 지극히 당연한 일입니다.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

warpdory의 이미지

글쓴이: warpdory / 작성시간: 토, 2005/06/11 - 1:32오후

일단 페도라 코어 3 가 있으시다니깐..

랜선을 뽑고 까세요.

그리고 ntsysv 에서 네트웍 시작 부분만 빼고 다른 데몬들은 다 내리시고, 리부팅 하세요.
그리고 어떤 데몬이 떠 있는지 체크하시고... 터미널 창에서 top 을 띄워 놓으세요.

그리고 랜선을 꽂으시고, /etc/rc.d/init.d/network restart
를 하세요.

그리고 어떤 변화가 있는지 지켜 보시면 됩니다.

만일 아무런 데몬도 없는 상태에서 이상한 현상이 발생한다면, 하드디스크 등에 배드섹터가 있을지도 모르니 체크해 보세요. 하드디스크에 배드 섹터가 있으면 컴퓨터가 갑자기 느려지고 .. 잘 되던 것도 안되고, 계속 재시도를 하니깐 시스템 로드는 올라가고.. 이런 식으로 돌아가게 됩니다.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.