현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

해킹 당한 걸까요?

송지석의 이미지
글쓴이: 송지석 / 작성시간: 목, 2003/04/17 - 2:30오후

아까전에 ls가 한글이 안나와서 질문했었는데요..

보니까 레드햇 8.0에서는 fileutils 패키지가 업데이트되지 않아서 버전 그대로일 것 같습니다.. up2date 로그파일을 봐도 fileutils는 업데이트되지 않았네요.

그런데 ls 파일이 변한 것 같습니다.

파일 크기나 그런것을 제가 보관해둔 것은 아니지만

한글이 안보였던 것이나.. (-N 옵션으로 해결했지만 다른 시스템에서는 그 옵션 없이도 잘 나왔던 것으로 보입다)

이번엔 -h 옵션이 없다고 나오네요.

저는 ls -lh 로 kb또는 mb 단위로 나오는 걸 좋아하는데요.

오늘 해보니
[root@song55 log]# ls -lh
ls: 부적절한 옵션 -- h
Try `ls --help' for more information.
이렇게 나옵니다.
man 페이지엔 -h 옵션이 있는데 ls --help로 보면 없는 것으로 나옵니다.

이게 무슨 조화인지...

혹시 해킹당한 것인가요?
# ls -l /bin/ls
-rwxr-xr-x 1 rommance rommance 39696 Sep 2 2002 /bin/ls

이렇게 나오니 날짜는 예전인데..

제 시스템은 레드햇 8.0입니다. 혹시 같은 버전 있으신 분은 크기 비교좀 부탁...
다른 시스템 7.3에서 본 크기는 이렇습니다.
$ ls -l /bin/ls
-rwxr-xr-x 1 root root 46888 1월 19 21:04 /bin/ls

앗 그러고보니 소유자가 이상하네요.. -_-;;

Quote:

-rwxr-xr-x 1 rommance rommance 13725 Aug 31 2002 login
-rwxr-xr-x 1 rommance rommance 39696 Sep 2 2002 ls
-rwxr-xr-x 1 root mail 83905 Jun 24 2002 mail
-rwxr-xr-x 1 root root 18936 Sep 2 2002 mkdir
-rwxr-xr-x 1 root root 18188 Sep 2 2002 mknod
-rwxr-xr-x 1 root root 6329 Jun 24 2002 mktemp
-rwxr-xr-x 1 root root 33531 Aug 31 2002 more
-rwsr-xr-x 1 root root 81996 Aug 31 2002 mount
-rwxr-xr-x 1 root root 15793 Jun 24 2002 mt
-rwxr-xr-x 1 root root 51564 Sep 2 2002 mv
-rwxr-xr-x 1 rommance rommance 54152 Aug 6 2002 netstat
-rwxr-xr-x 1 root root 13880 Aug 30 2002 nice
lrwxrwxrwx 1 root root 8 Dec 23 13:24 nisdomainname -> hostname
-rwxr-xr-x 1 root root 317323 Aug 11 2002 pgawk
-rwsr-xr-x 1 root root 35302 Jun 24 2002 ping
-rwxr-xr-x 1 rommance rommance 62920 Aug 12 2002 ps
-rwxr-xr-x 1 root root 10232 Aug 30 2002 pwd
lrwxrwxrwx 1 root root 2 Dec 23 13:29 red -> ed
-rwxr-xr-x 1 root root 26264 Sep 2 2002 rm
-rwxr-xr-x 1 root root 11832 Sep 2 2002 rmdir
-rwxr-xr-x 1 rpm rpm 2083816 Sep 5 2002 rpm

login이나 ps가 소유자가 rommance(제 사용자 계정)으로 되어있습니다. 불안하네요. -- 어떻게 해킹 여부를 확인하죠? 어떻게 복구할까요?
저는 tripwire같은 것을 쓰지는 않는데요. --;;

Forums: 
설치 및 활용 QnA
송지석의 이미지

글쓴이: 송지석 / 작성시간: 목, 2003/04/17 - 2:45오후

해킹당한 것 같네요 -_-;;

다른 시스템에서 ps 를 가져와서 실행해보니

한 프로세스가 더 나타나네요..

./tks 라고..

root 14318 1 0 10:23 ? 00:00:40 ./tks


rommance.net

송지석의 이미지

글쓴이: 송지석 / 작성시간: 목, 2003/04/17 - 2:47오후

[root@song55 rommance]# cp ls /bin
cp: overwrite `/bin/ls', overriding mode 0755? y
cp: cannot create regular file `/bin/ls': 허가 거부됨
[root@song55 rommance]# cp login /bin
cp: overwrite `/bin/login', overriding mode 0755? y
cp: cannot create regular file `/bin/login': 허가 거부됨
[root@song55 rommance]# mv /bin/login /bin/login_bak
mv: cannot move `/bin/login' to `/bin/login_bak': 명령이 허용되지 않음

어떻게 해야 할까요? 음.. 해킹 당한 건 처음이라. --

[root@song55 rommance]# poweroff
/dev/null

Broadcast message from root (pts/3) (Thu Apr 17 14:56:36 2003):

The system is going down for system halt NOW!
RK_Init: idt=0xc037d000, sct[]=0xc0302c30, FUCK: Can't find kmalloc()!

아주 힘들군요. --; 지금 원격으로 하고 있는 건데.. 어떻게 할 지..

하나씩 특징을 찾는 대로 수정해서 적어가겠습니다. --;;
nfk:x:503:503::/home/nfk::/bin/bash
사용자 추가되었음. -_-
[root@song55 rommance]# ls /home/nfk -la
합계 28
drwx------ 2 nfk nfk 4096 4월 17 10:33 .
drwxr-xr-x 6 root root 4096 4월 17 10:27 ..
-rw------- 1 nfk nfk 205 4월 17 10:33 .bash_history
-rw-r--r-- 1 nfk nfk 24 4월 17 10:27 .bash_logout
-rw-r--r-- 1 nfk nfk 191 4월 17 10:27 .bash_profile
-rw-r--r-- 1 nfk nfk 124 4월 17 10:27 .bashrc
-rw-r--r-- 1 nfk nfk 120 4월 17 10:27 .gtkrc

tks라는프로그램이
/lib/ldd.so/tks
여기 있었군요.


rommance.net

서지훈의 이미지

글쓴이: 서지훈 / 작성시간: 목, 2003/04/17 - 3:18오후

이런 경우엔 시스템을 완전히 엎으시는게...
좋을듯 하네요...
물론 당장이야 변경된 파일들을 딴데서 가져 와서 쓴다고 하더라도...
지금 시스템의 어디에 무슨일이 일어나고...
어디에 무엇이 있는지...
100% 알 수는 없는 일입니다.
그리고 만약 보안에서 100%(여기선 현재 버젼에서의 보안성)가 아니라면...
별루 그렇게 쓸데가 없는 겁니다.
언제나 다시 같은 일이 일어 날 수가 있다는 거죠...
그러니 필요한 파일들만 따로 보관을 하시고...
시스템을 완전히 밀어 보리시는게 좋을 겁니다.
이건 [[[적극 추천]]] 방법입니다!!!

<어떠한 역경에도 굴하지 않는 '하양 지훈'>

#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);

송지석의 이미지

글쓴이: 송지석 / 작성시간: 목, 2003/04/17 - 5:13오후

네 말씀대로 엎으려고 생각중이긴 한데요...

어떻게 poweroff가 안되게 할 수 있죠?

지금 상태면 그냥 전원을 내려버려야 하는데. --;;


rommance.net

june8th의 이미지

글쓴이: june8th / 작성시간: 목, 2003/04/17 - 5:38오후

해킹 당했을때, 추적해서 잡을것이 아니라면,
랜선 뽑고 어떻게 복구할지 생각해 보는 것이 좋다고 생각합니다.

pynoos의 이미지

글쓴이: pynoos / 작성시간: 목, 2003/04/17 - 6:22오후

backdoor가 깔려 있는 경우에는 ls, ps 등이 숨겨있는 디렉토리를 감추기 위해 변조됩니다. 숨겨있는 디렉토리에 몇가지 file들이 들어있지요.

strings -a /bin/ls | grep /

등으로 수상한 directory에 대한 정보가 박혀있는지 확인해 보시고,
살펴보세요.

---
http://coolengineer.com

mushim의 이미지

글쓴이: mushim / 작성시간: 목, 2003/04/17 - 6:31오후

시스템을 reboot 하게 되면 /sbin/init 이 불려지게 되는데, 이 파일이 교체된것 같군요.

ls -l /proc/1/exe 를 해봐서

/proc/1/exe -> /sbin/init

이 나오지 않게 되면 무언가 문제가 생긴것입니다.

해당 시스템의 버전에 맞는 init 을 복사하시기 바랍니다.

그리고, 새로운 ps 와 netstat , ls 를 이용해서 일단 backdoor 를 제거하십시요.

그리고 서버에 설치된 rootkit 종류를 확인하셔서, 그 에 맞는 조치를 하셔야 할것 같습니다.

rootkit 이 제거되고 나면, 어떠한 경로로 해킹을 당했나를 찾아야 겠죠.

이 부분의 문제점을 찾을때가지는 네트워크에 안물리는게 좋겠죠.

아니면 ssh 외에 나머지는 내려놓고 작업을 하시던지 해야 할 것입니다.

sunyzero의 이미지

글쓴이: sunyzero / 작성시간: 목, 2003/04/17 - 7:48오후

chkrootkit으로 검사해보시고, 그전까지는 위에서 다른 분들이 언급하신대로 랜을 차단하시는게 좋습니다.

대부분 sendmail, webserver, ftp, telnet, ssh 등으로 뚫리는 경우가 많으며 listen하고 있는 것이 없다면 거의 확실하고, listen하고 있는 수상한 포트가 있다면 passwd brute force attack으로 찾아냈을수도 있으니 패스워드 크래커로 탐지도 해보시기 바랍니다.

========================================
* The truth will set you free.

송지석의 이미지

글쓴이: 송지석 / 작성시간: 목, 2003/04/17 - 8:16오후

/proc/1/exe -> /sbin/init (deleted)
라고 나오는데요.
괜찮은 건지.. --
root 1 0 0 Apr10 ? 00:00:06 init [3] --init


rommance.net

송지석의 이미지

글쓴이: 송지석 / 작성시간: 목, 2003/04/17 - 8:34오후

# Xntps (NTPv3 daemon) startup..
/usr/sbin/xntps -q

rc.sysinit에 이런 구문이 있는데..

혹시 이름만으로 알 수 있으신 분 계신가요?


rommance.net

cjh의 이미지

글쓴이: cjh / 작성시간: 목, 2003/04/17 - 8:50오후

심지어 커널이나 netstat를 조작하여 해커가 접속한 listening port을 안보이도록 하는 경우도 보았으므로, 일단 네트워크를 단절시켜 두는 것이 최선이고, 데이터만 백업한 후 다시 설치하는 것이 불필요한 정신적 스트레스를 줄이는 길입니다. /dev 아래 장치가 아닌 파일이 숨은 경우도 많습니다.

특정한 이상한 프로그램(tks?)등이 발견되었다면 그 경로를 google에서 검색하시면 비슷한 증상에 걸린 내용을 찾을 수도 있습니다. 방금 찾아보니 몇개 나오는데, 아래가 그 중 하나군요.

http://archives.neohapsis.com/archives/incidents/2001-11/0080.html

--
익스펙토 페트로눔

mushim의 이미지

글쓴이: mushim / 작성시간: 목, 2003/04/17 - 9:02오후

Quote:
/proc/1/exe -> /sbin/init (deleted)

/sbin/init 가 실행중에 rootkit 파일로 교체되어져서 그렇습니다.

일단 /sbin/init 를 바꾸셔야 합니다.

Quote:
RK_Init: idt=0xc037d000, sct[]=0xc0302c30, FUCK: Can't find kmalloc()!

이 메세지를 보아서는 SucKIT 을 쓴것은 맞는데, 이거 말고도 또 다른 rootkit 도 설치된것 같기도 하네요.

icmplayer의 이미지

글쓴이: icmplayer / 작성시간: 목, 2003/04/17 - 9:15오후

아.. 저도 전부 다시 까시는게 낫 다고 생각 합니다.
저도 한번(?) 핵킹 당한 경험이 있어서... /boot/System.map까지 변경 했더군요...
root로도 못 바꿀수 있는 파일들이 있었다는... chattr 까지 실패.
그 서버엔 플로피, 씨디롬, 모니터도 없어서 SSH로 밖에 들어 갈수 없었는데, 뻔히 SSH콘픽파일이 손상 된걸 알고도 변경 및 대채 할수도 없었읍니다. 그냥 하드 꺼네서 딴 시스템에서 덥었습니다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.