<기분개떡>IDC직원한테 잡혀서 크래킹당한 컴터 복구해주고 왔습니다. orz

하루가 괴로웠습니다. ㅠ.ㅠ
shv5라는 백도어에 감염된 서버를 복구해주고 왔습니다.
사실 복구는 아니고 임시방편으로 살려만 놓고 왔습니다.

문제는.. IDC 관리자한테 서버를 밀고 새로 깔라고 말을 했건만 말이 안통하더군요.
" 내가 왜 서버 호스팅 받는 업체에 그렇게까지 해야 하냐 " 였습니다.

" 그럼 나는 왜 니네 고객 서버 해킹을 내가 해결해야 하냐 " 라는 생각도 들더군요.

하지만.. 코로케이션 비용을 못내고 있는터라 기쁜마음으로 삽질하다가 왔습니다. OTL

제가 알아봤자 IDC 직원보다 잘알겠습니까? ㅠ.ㅠ
이건 횡포입니다!!!!!!!!!! -_-+++

크래킹 당한 서버는 비영리단체의 서버였고, 제로보드를 사용하고 있었습니다.

제로보드는 최신버젼 (pl7)을 사용하고 있었구요.

문제가 터진곳은 skin 디렉토리의 zboard_vote/error.php 였습니다.

그리고 개인적으로 테스트를 해본 결과 동일 디렉토리 내의 login.php역시 문제없이 뚫리더군요.

그외에 다른 파일은 테스트 못해보았습니다.

혹시 제로보드를 사용하시는 분들 중에 투표관련으로 사용하시지 않으시다면 zboard-vote 디렉토리는 연습없이 삭제해주세요.

로그를 뒤져보니 한숨밖에 안나왔고, 여기에 다 적지는 못합니다만
문제가 심각하더군요.

무차별 대입형식으로 뚫으려고 했던 탓인지 phpbb 디렉토리도 찾더군요. -_-; ( 그만큼 많이 사용한다는 반증이겠죠 )
그외에 아주 흔한 admin에 관련된 단어는( 물론 디렉토리겠죠. -_-; ) access.log에 뒤져보니 뚫으려는 시도가 어마어마 하더군요.

귀차니즘에 오늘 있었던 일을 다 적지는 못합니다만 shv5 백도어가 설치되었을때 특징 중 하나가
pstree와 ifconfig 파일을 감염시키더라구요.
( 복구 시킨 뒤 동일하게 모의로 동일한 백도어를 심고나니 위의 두 파일이 다시 감염되었습니다. chrootkit으로 체크하였습니다. )
hide 된 디렉토리를 찾아내어 삭제를 하려 하여도 삭제가 안되었습니다. (attr 확인을 해보았습니다.)
그래서 일부러 모의테스트겸 동일 백도어를 ID, port를 바꾼 채 설치하였구요.( 동일 위치에 설치된다는 가정하에)

오늘 답답한 것 중 하나는... IDC직원이 저한테 도움을 청한다는것 이었습니다.
제가 가르치는게 맞다고 보세요? 모르는 명령어가 수두룩 한 제가요? -_-
맨날 물어보면 검색해보세요 하던 그 분이 말이죠 -_-+++

--------------------------------------------------------------------------------------------------------------------------------------

술먹고 글을 과격하게 적고나서 보니 섬찟하더군요.
혹시 모 IDC의 그 직원분이 이 글을 보면 어쩌나 하는 생각에요. ( 연체는 무서운것이랍니다. 여러분. )

아, 물론 그 분이 즐겨 사용하시는 아이디는 검색결과 없긴 하였습니다만... -_-;

그래서 너무나 순화할 수 있는 방향으로 글을 편집하였습니다.
편집전에 네 분 이 읽으셨던데 다시 읽으시게 되면 가증스러운 놈이라 비웃고 넘어가 주시면 감사하겠습니다. ㅠ.ㅠ

P/S 혹시나 그 분이 이곳의 회원이시고 이 글을 읽으신다면... " 농담인거 아시죠? "