centos SSH 버전 넘버 체크 해 보세요.

이런 글 남기는 것 자체가 제얼굴에 침 뱄는 경우이긴 하지만,

최근에 운영중인 서버들에서 perl 스크립트를 이용한 스팸 메일 발송과 ssh 버전 변경 당하는 경우가 발생해서 글 남깁니다.

ssh 버전의 경우 아래와 보는 봐야 같이 정식 릴리즈에 숫자 하나 더 붙이는 방식으로 변경되며, perl 스크립트는 root로 구동을 통해 스팸 메일 발송됩니다.

공통점으로는 /tmp 파티션에 ... 파일하나 생겨 있습니다.

웹서비스가 없는 서버에서도 동일하게 스팸 메일 발송되며, 문제가 생긴 서버의 공통점은 ssh,ftp,smtp 서비스 오픈 말곤 없더군요.

뚫린 서버 버전은 cent4/cent5 모두에 해당하며, ssh 버전을 yum update로 최신 업데이트를 해놔도
아래와 같이 버전명이 정식 버전에 숫자 하나 더 붙이는 방식입니다.

openssh-4.3p2-720.el5_7.5
openssh-3.9p1-113.el4_87.25

스펨 메일 발송은 베트남 IP로 접속해서 스팸메일용 perl 스크립트 구동 시키는 것이 확인되어 해당 IP 차단으로 임시로 막아놓은 형편이지만, 어떻게 root 로그인을 했는지에 대해서는 추적할 방법이 없군요.

ssh 버전 5 이상으로 업글해도 동일하게 문제 생깁니다.

해당 ssh 해킹 방법론이나 해결 방안 있으시면, 공유 부탁드립니다.

geoip로 외국IP 접속 차단 중입니다만, 국내 서버 하나만 뚫으면 여전히 다 뚫을 수 있을 듯하군요.

현재 제가 확인한 봐에 의하면 SK/KT 모두 ssh 버전 이상 서버 다수 있는 것으로 파악하고 있습니다.