리눅스 시스템계정이 해킹을 당한 경우 처리방법 문의
글쓴이: grafish / 작성시간: 월, 2013/02/18 - 12:05오전
스팸발송으로 골머리를 앓고 있는 초보관리자입니다.
maillog를 찾아보다
Feb 17 20:43:47 m1 sendmail[2597]: AUTH=server, relay=[41.189.54.250], authid=mysql, mech=LOGIN, bits=0
이런 부분을 발견하였고,
zgrep "authid=" /var/log/maillog* | awk '{print $8}' | sort | uniq -c | grep authid | sort -r
명령을 통해 얻은
1665 authid=mysql,
14 authid=******,
이런 결과를 통해 mysql 이라는 계정을 통해 스팸이 대량 발송되었다는 사실로 이해했습니다.
또 검색, 검색..
mysql은 시스템 계정이라 패스워드가 지정되지 않으므로 로그인이 안되어야 하는 계정인데,
해킹을 당해 패스워드가 지정되어 있다는 사실까지 shadow파일을 참조해 알아냈습니다.
질문은, 이 시스템계정인 mysql 계정을 원래처럼 되돌리는 방법을 알고 싶습니다.
(shadow 파일에서 봤을 때 패스워드 부분이 !! 으로 나타나도록이요..)
고수님들의 가르침을 부탁드립니다.. ㅡ.ㅡ;;
Forums:
shadow 및 passwd 파일 직접수정
shadow 파일이나 passwd 파일을 직접 손대지 않고 작업을 해야 하는것 아닌가 하고 문의를 했으나 답변이 없고, 마음이 급해서
두개의 파일을 직접 수정해 봤습니다.
1. /etc/shadow 파일수정
mysql:$1$V8X5eC/y$3S/tOWjv/Tf8HL.Cj6t.W1:15127:0:99999:7::: --> mysql:!!:14665:0:99999:7:::
2. /etc/passwd 파일수정
mysql:x:27:27::/home/mysql:/bin/bash --> mysql:x:27:27::/home/mysql:/sbin/nologin
위와 같이 2개의 파일을 수정했더니 그 시도떄도 없이 발송되던 스팸이 이제 멎었네요..
이게 끝은 아니겠지만, 한 숨 돌리게 되었습니다.
혹시 저같은 상황을 겪으신 분이 있다면 도움이 되실까 적어봤습니다.
그리고, 제가 위에 취한 조치가 문제가 있거나 보완해야 할 부분이 있다면 고수님들의 조언도 부탁드립니다.
음 ..
passwd 명령에 -l (lock) 옵션을 주고 실행하시면 됩니다.
$ sudo passwd -l mysql
아니면 그냥 /etc/shadow 파일을 vi 로 열어서, mysql 의 두번째 필드를 '!' 로 바꿔주셔도 되구요.
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
댓글 달기