pstree 가 좀 이상한 것 같습니다. 다음과 같은 상황을 겪어보신 분이 있는지요?
안녕하세요. 눈빛마음입니다.
예전에 하늘마음이라는 필명을 썼었지요.
제 실력이 좀 모자라 저 혼자서는 판단이 잘 안되어 혹시나 하고 이곳의 문을 두드리게 되었습니다.
제가 관리하고 있는 서버가 있습니다.
그런데 그 서버에서 요즘 이상한 증상이 발견되고 제로보드의 새로운 공격방식으로 문제가 있었는데요.
자세히 점검을 하다가 보니 다음과 같은 것이 계속 마음에 걸립니다.
바로 pstree 인데요.
이렇게 나오는게 비정상적인 것 같은데 어떻게 판단하면 좋을까요?
부랴부랴 chkrootkit 을 설치를 해도 별다른 INFECTE 메시지는 안나오네요.
/proc 에 있는 모든 process 의 번호와 ps aux 를 대조해도 없는 프로세스는 없구요.
[ 설마 커널까지 뚤렸을리는 없을것 같습니다. 그렇다면 모듈로 로딩까지 의심해야 해서 너무나 복잡할꺼 같아요. ]
다음의 pstree를 확인해주시면 감사하겠습니다.
# pstree
init-+-6*[agetty]
|-apache2---1392*[apache2]
|-cron
|-sshd-+-2*[sshd---bash]
| `-sshd---bash---pstree
|-syslog-ng
`-udevd
# pstree -V
pstree (PSmisc) 22.5
Copyright (C) 1993-2005 Werner Almesberger and Craig Small
PSmisc comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it under
the terms of the GNU General Public License.
For more information about these matters, see the files named COPYING.
보시다시피 실제로 운영이 되고 있는 프로세스들보다는 너무 적게 결과가 나오고 있고.
또한 그 결과값이 현재 운영이 되고 있는 커널의 데몬들은 거의 숨겨져서 나오는데 혹시나 모를 루트킷이 있는지 걱정중입니다.
다음은 또다른 관리를 하고 있는 서버의 결과입니다.
# pstree
init-+-6*[agetty]
|-apache2---10*[apache2]
|-cron
|-events/0
|-events/1
|-events/2
|-events/3
|-khelper
|-kirqd
|-ksoftirqd/0
|-ksoftirqd/1
|-ksoftirqd/2
|-ksoftirqd/3
|-kthread-+-aio/0
| |-aio/1
| |-aio/2
| |-aio/3
| |-ata/0
| |-ata/1
| |-ata/2
| |-ata/3
| |-ata_aux
| |-4*[jfsCommit]
| |-jfsIO
| |-jfsSync
| |-kacpid
| |-kblockd/0
| |-kblockd/1
| |-kblockd/2
| |-kblockd/3
| |-khubd
| |-kmirrord
| |-kpsmoused
| |-kseriod
| |-kswapd0
| |-2*[pdflush]
| |-scsi_eh_0
| |-scsi_eh_1
| |-2*[xfsbufd]
| |-xfsdatad/0
| |-xfsdatad/1
| |-xfsdatad/2
| |-xfsdatad/3
| |-xfslogd/0
| |-xfslogd/1
| |-xfslogd/2
| |-xfslogd/3
| `-2*[xfssyncd]
|-migration/0
|-migration/1
|-migration/2
|-migration/3
|-mysqld---9*[{mysqld}]
|-mysqlmanager---2*[{mysqlmanager}]
|-sshd---sshd---bash---pstree
|-syslog-ng
|-udevd
|-watchdog/0
|-watchdog/1
|-watchdog/2
`-watchdog/3
# pstree -V
pstree (PSmisc) 22.5
Copyright (C) 1993-2005 Werner Almesberger and Craig Small
PSmisc comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it under
the terms of the GNU General Public License.
For more information about these matters, see the files named COPYING.
p.s
그런데 저렇게 pstree 로 정상처럼 나오는 서버는 root 의 password 를 바꾸려고 하면 다음과 같은 에러가 나오네요.
# passwd
passwd: Critical error - immediate abort
p.s2
서버의 이름을 밝힐 수도 있겠지만 구지 않밝히는 이유는 챙피해서도 그렇지만 뚤렸나? 하고 공개적으로 이야기 하기는 어려운 사이트여서 그렇습니다.
제가 봐주고는 있지만 제가 소유하고 있는 사이트는 아니여서 대놓고 공개 하기는 어려워서 그렇습니다.
제 상황을 잘 아시는 분이 계시다면 답변중에는 특정 사이트를 거론 하지 않아주셨으면 합니다. 부탁드릴께요.
음...
해킹이 의심된다면, 해당 시스템에 있는 명령들은 가급적 믿지 않으시는게 좋습니다. 동일한 리눅스 박스가 있으면 바이너리 파일 비교해 보시고, 클린 서버에 있는 명령을 복사해서 사용하시는게 좋습니다.
(ls, ps, netstat, strings, lsmod, passwd 등등등...)
프로세스가 의심이 되는 시스템은 lsof 나 strace 등으로 명령이나 프로세스들이 참조하는 파일, 시스템 콜 등을 한번 찾아 보시는 것도 좋습니다. chkrootkit 도 좋기는 합니다만, 잘 알려져 있는 만큼 피해갈 수 있는 방법은 많을 겁니다. RPM을 지원하는 시스템이라면, rpm 명령 옵션에 verify 옵션이 있던 걸로 기억하는데, coreutil 이나 기타 시스템 명령 관련된 패키지에 대한 검증도 한번 해보시구요.
password 에러 나는 서버는.. 일단 /etc/passwd, /etc/shadow 파일의 퍼미션이나 소유권을 확인하고, 내용을 한번 들여다 보시죠. lsattr 로 attribute 도 한번 확인해 보시구요.
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
댓글 달기