현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

시스템 뚤렸는대 도대체가 알수가 업네요.

zzsay의 이미지
글쓴이: zzsay / 작성시간: 토, 2003/04/26 - 3:48오전

사용 서비스가
80
21
22
25
3306

사용 운영체제는 데비안 3.0r1 우디 이구요
버그및 보안 매치는 매일 cron 달아놓아서 매일 패치 하구 있습니다/

보안점검툴에
tripwire
Snort
chkrootkit
정도 사용중이고요

계정에 쉘로 접근할 서비스를 준적은 없구요
개인적인 웹서버만 사용 중입니다.
루트 관련 작업도 sudo 로 사용 했구요.

시스템이 했킹당했던걸 우연찬게 발견 했습니다.
tripwire 무결성 체그했을때도 그어떤 점을 발견 할수도 없었습니다.
tripwire 역시 매일 실행하구 메일로 그내용을 전달 받구 있습니다.

우연찬게 Mc 켜놓구 이러저리 뻘짓? 하며 디렉 토리 왔다 갔다 하던중
lib/modules/2.4-20-6/lib/goips? 라는 왠 실행 파일 하나가 떡 하니 있지
않습니까

ps -ax top 전부 netsaat 검색해도 특정 포트가 열린적은 없었습니다.

ps의 파일 크기가 이상하다 싶어 보았더니
캡쳐니온 파일 이더구니.
예를들어 ps -ax 치면 나오는 화면을 만들어 랜덤으로 몇가지 화면을 보여
주는 파일 이더군요
이것두 sendmail 데몬 띠우다가 알았습니다.
ps -ef 치는대 왜 센드메일 데몬이 안올라가지? 라고 했는대
알고보니 데몬은 이미 올라 갔구 ps는 이미 짜여진 모양새?만 출력 해주더군요

tripwire 데이타 배이스는 어떻게 변조 했는줄 모르겠습니다.
어디선게 데이터 베이스 변경이 가능 한걸로 알고 있는대

그나마 의심할 구멍이 mysql 인대 데비안에서 stanb 에 있는 안전 버전인
3.23.49 입니다.

주로 4.X 버전을 사용하는대 그냥 계속 사용 했습니다.
대비안 보안 미러 사이트에서 한번 업뎃 받구는 그대로 두었습니다.
아파치는 1.3-27
php - 4.1.-1
입니다.

데비안 업뎃만 믿구있다가 예전에 커널 2.4-18 때도 패치가 다른
베포판에 비해 늦게 올라오는 바람에 낭패를 본적이 있는대여.

개인적으로
tripwire 를 무지 의지 하는 편인대 이렇게 당하고 보니 할말이 없습니다.
cron 에 등록해
새벽 5시쯤
lib/modules/2.4-20-6/lib/goips?<-- 이놈을 실행해서
들어 오더군요
귀차니즘에 당한것인지

암튼 뚤린거는 알겠는대 무었때문에 뚤린줄은 모르겠습니다.
제가 보안쪽이 허술 한걸까요..

참고로 이렇타할 방화벽 시스템은 없습니다.
매일 모니터링 하구 탐지 감시와 무결성 검사만 주로 사용 했습니다.
방화벽 보다는 개인적인 모니터링을 더 믿고 있었습니다.

portsenty 인가? 도 철지났지만 여전희 쓸만 하다고들 하시던대
어떤지 말씀좀 해주세요
예전에 저걸로 왠? 포트들이 이렇게 열러 하구 놀랐던적이 그립습니다.
그당시 하나 모르면 7시간 이상 투자해서 알아내는 리눅스가 참재미 있었는대요

Nessus 도 한번 같이 사용 해보려고 하는대 어떤지 말슴 해주시겠습니까?
참고로 X-win 관련 시스템은 없습니다. 온니 텍스트 서버 입니다.

아마 리눅스 경력4년에 x-windows 켜본적이 딱 두번 있습니다.
오히려 더 복잡합니다. mplayer-gui 조자 건들지 못해서 쩔쩔 맸습니다.
Kde3? 구경도 몬해 봤습니다. 스크린샷 빼구요

ㅋㅋㅋ 여담입니다.

Forums: 
설치 및 활용 QnA
sunyzero의 이미지

글쓴이: sunyzero / 작성시간: 토, 2003/04/26 - 11:54오전

혹시 sendmail에서 뚫린 것은 아닌지? 최근 연달아 sendmail의 버그가 보고되면서 이를 악용한 사례가 종종 보이고 있습니다.

그리고 트립와이어를 사용하실때는 syslog와 같이 사용하셔서 침입자가 변조하기 전에 log기록을 가지고 있는 것이 좋습니다. 서버가 여러개가 있다면 로그를 다른곳으로 전송하도록 해주는 것도 좋습니다.

그리고 snort를 사용하신다면 잘 사용하셔서 log기록만 잘 남겨도 대부분 탐지가 가능합니다.

========================================
* The truth will set you free.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.