2백50여개 국내 업체.공공기관 해킹당해

lightwind_의 이미지

자나깨나 해킹조심...
--------------------------------------------------
출처 : [연합신문]
출처사이트 : http://www.yonhapnews.co.kr
--------------------------------------------------
(서울=연합뉴스) 류현성기자= 무려 2백50여개에 달하는 국내 기
업, 대학, 공공기관 등이 해킹당한 것으로 밝혀져 경찰청과 한국정보보
호센터가 수사를 벌이고 있다.
정보통신부는 31일 지난 25일 국내 보안업체인 ㈜시큐아이닷컴에서
고객사에 대한 보안점검을 실시하던중 `서비스거부 공격'에 사용되는 해
킹프로그램을 발견, 이를 경찰청과 한국정보보호센터에 이를 신고했다
고 밝혔다.
서비스 거부 공격이란 미리 설치한 해킹 프로그램들을 원격 조정해 막
대한 양의 쓰레기 데이터를 특정 인터넷 사이트로 동시에 전송함으로써 해
당 홈페이지에 다른 이용자가 접속하지 못하도록 하는 해킹 수법을 말한
다.
경찰청이 역추적 조사를 벌인 결과 해커는 미국의 한 ISP(인터넷 서
비스 공급자)를 통해 강릉의 한 PC방에 1차 접속한 뒤 이를 통해 국내
200개 기업체, 30개 대학, 구청을 포함한 20개 공공기관 등에 해킹프로
그램을 설치했다.
한국정보보호센터는 해킹프로그램이 설치된 피해업체의 시스템을 분석
해 해킹프로그램을 제거하는 작업을 수행중이다.
정보보호센터는 작년말부터 홈페이지를 통해 해킹프로그램이 있는 지
여부를 점검할 수 있는 K-COPS를 국내에 무료 서비스 하고 있다.
정통부 관계자는 '이번에 민.관이 공동으로 국내 최대의 해킹프로그
램을 조기에 발견, 사이버테러를 미연에 방지할 수 있게됐다'며 '해커
는 250개 해킹 프로그램을 설치한 뒤 국내.외 주요 기관을 공격할 준비
를 하고있던 것으로 파악되고 있다'고 말했다.
정통부의 이같은 주장에도 불구하고 국내에서 광범위한 해킹이 발생했
다는 점에서 충격을 주고 있으며 구체적인 피해여부는 조사가 더 진행되
야 드러날 것으로 보인다.
...중략...

rhew@yonhapnews.co.kr
(끝)

href="http://www.yonhapnews.co.kr/news/20000731/080300000020
0007311217200.html">한꺼번에 보기

익명 사용자의 이미지

해킹당한 업체중 한 업체로부터 연락을 받고 서버를 살펴보았습니다.
공격받은 서버는 알짜리눅스 6.0 이 설치되어 있었고 스택오버플로우
문제를 갖고 있는 bind 가 설치되어 있었습니다.

해커가 한 일은..

- error, err0r, steel, test, joe 등의 계정을 만들고 접속함
- /usr/local/sbin/.error에 해킹툴을 가져다 놓음
- 피해 서버의 모든 홈페이지에 엽기(?)사진을 게제함
- 다른 사이트를 공격함

제가 살펴보고 있을때도 접속을 했기에 talk, write 등으로 대화를
시도했으나 응답하지 않더군요. 제가 보기엔 "간뎅이가 부은" 해커입니다.
passwd, messages, wtmp, .bash_history 등의 파일과 홈페이지에
자신의 흔적을 남겼으며, 들킨 것을 안 뒤에도 계속 접속해서
자신의 접속지를 남긴 것은 이해할 수 없는 행동이더군요.
시스템을 밀고 새로 까는 동안에도 라우터에 DoS 공격을 했습니다.
녀석은 wcc.net이라는 미국의 인터넷 프로바이더의 사용자인듯
합니다. (tcp wrapper에 등록하시길)

모 공격한 놈이 나쁘지만 평소 보안에 무관심했던 업체들도 이를
계기로 반성하는 기회가 되었으면 합니다.

www.certcc.or.kr

익명 사용자의 이미지

히히, 일년전 알짜 6.0처음 깔고 며칠 후 바로 shell이 탈취당했던 기억
이 있지요. bind에 buffer overflow를 일으켜서 인증이 필요없는 shell
service를 열어놓았더군요.
어제 저녁 뉴스에 보니까, 아주 간단한 해킹기법이라며,
telnet으로 root shell을 한번에 얻는 장면을 보여주던데... 사실 간단하
진 않죠, 아무나 stack smash code를 만드는 건 아니니까,
그러나...
그 코드를 얻는 건 쉽더군요.
여하튼 아침뉴스 보고 기억이 새로워서 한 번 써봤습니다.

익명 사용자의 이미지

알짜 6.0 사용자인데.. 진짜루 모르는 계정이 생겨있네요..
해킹 프로그램이 심어져 있는지 잡아내고 싶어요.
그리고 bind만 패치하면 되는 건가요?

알려주세요.. 어떤 파일들이 해킹 툴인지 잡아내게..

익명 사용자의 이미지

RedHat 6.0은 bind만 아니라 군데군데
버그가 많더군요..
백도어 설치하기도 편하구요..

자료와 방법만 알면
누구나 싶게 root 계정을 획득할수 있지요..

1. RedHat 6.0을 업그레이드하세요..

2. 그리고 최신 버그정보를 탐구하세요..
http://www.securityfocus.com