해킹당했어요...
IDC 에 서버가 한대 있거든요.
그래서 계정 테스트 한다고 test 계정 만들어서 비번을 1234 로 했어요.
근데 글쎄 그동안 누가 그 계정으로 들어와서.. 오만짓을 다 햇어요.
linuxchannel.net 의 sysinfo 라는것을 깔았떠니..
하드 /home 계정이 12G 나 사용중이길래 봣더니... 글세..
터미네이터도 있고--;
누군지 붙잡고 싶은데 로고보는법을 몰라요.. 어디어디 로고를 참조해야하는지 좀 알려주세요. 잠잘려다가 발견한거라.. 잠도 안와요..
그리고 test 계정에 700 권한을 먹였는데, test 계정으로 여전히 들어가지네요.
어떤조치를 해야하나요..
도와주세요~~
=============================================
-[Complete]-92_Files-[PnW]
4385 ./test/.syst/MOVIEZ-Terminator.3.The.Rise.of.the.Machines.DVDR-TC
1 ./test/.syst/z1883222frtg34g/CD1
1 ./test/.syst/z1883222frtg34g/CD2
1 ./test/.syst/z1883222frtg34g
1 ./test/.syst/MOVIEZ-Terminator.3.-.Rebellion.der.Maschinen.TS.LD.German.SVCD-GTM/CD1/-[100%]--[All-files-CRC-OK]--[56-files]--[HQ100mbitUS]-
1 ./test/.syst/MOVIEZ-Terminator.3.-.Rebellion.der.Maschinen.TS.LD.German.SVCD-GTM/CD1/HQ100mbitUS-[56_files]-[Complete]-[100%]
1 ./test/.syst/MOVIEZ-Terminator.3.-.Rebellion.der.Maschinen.TS.LD.German.SVCD-GTM/CD1/dll
794 ./test/.syst/MOVIEZ-Terminator.3.-.Rebellion.der.Maschinen.TS.LD.German.SVCD-GTM/CD1
1 ./test/.syst/MOVIEZ-Terminator.3.-.Rebellion.der.Maschinen.TS.LD.German.SVCD-GTM/CD2/-[100%]--[All-files-CRC-OK]--[55-files]--[HQ100mbitUS]-
1 ./test/.syst/MOVIEZ-Terminator.3.-.Rebellion.der.Maschinen.TS.LD.German.SVCD-GTM/CD2/HQ100mbitUS-[55_files]-[Complete]-[100%]
779 ./test/.syst/MOVIEZ-Terminator.3.-.Rebellion.der.Maschinen.TS.LD.German.SVCD-GTM/CD2
1573 ./test/.syst/MOVIEZ-Terminator.3.-.Rebellion.der.Maschinen.TS.LD.German.SVCD-GTM
1 ./test/.syst/[2]=-=- WAREZ FOR 3''rd WORLD -=-=
1 ./test/.syst/[4]=-=- DONT REHACK or DELETE -=-=/Subs
1 ./test/.syst/[4]=-=- DONT REHACK or DELETE -=-=
1 ./test/.syst/[0]=-=-=-=-=-=-=-=-=-==-=-=-=-=-=-=-=-=-=/CD1
1 ./test/.syst/[0]=-=-=-=-=-=-=-=-=-==-=-=-=-=-=-=-=-=-=/CD2
1 ./test/.syst/[0]=-=-=-=-=-=-=-=-=-==-=-=-=-=-=-=-=-=-=/CD3
1 ./test/.syst/[0]=-=-=-=-=-=-=-=-=-==-=-=-=-=-=-=-=-=-=
1 ./test/.syst/XXXHustler.Hot.Showers.10.XXX.DVDRip.DivX-YknoTT/Cover
11 ./test/.syst/XXXHustler.Hot.Showers.10.XXX.DVDRip.DivX-YknoTT/Sample
709 ./test/.syst/XXXHustler.Hot.Showers.10.XXX.DVDRip.DivX-YknoTT
32 ./test/.syst/APPZ-Ontrack.EasyRecovery.Professional.v6.03.04.Multilingual-UnderPl
652 ./test/.syst/GAMEZ-Madden_NFL_2004_Usa_Ps2-MIRACLE
1 ./test/.syst/[6]=-=-------------------------------------------------=-=/CD1
1 ./test/.syst/[6]=-=-------------------------------------------------=-=
1 ./test/.syst/[5]=-=- just PISS OFF !!!!!!!!!!!!!!!!!! -=-=
49 ./test/.syst/MOVIEZ-Terminator.3.Rebellion.der.Maschinen.TS.AC3.Dubbed.German.READ.NFO.DVDR-TGSC
12305 ./test/.syst
12315 ./test
-_-;;;
ps ax후에 텔넷이나 클라이언드 프로세스 죽이구여
lastlog로 로긴 시간 보구 bash쉘 이면
/home/test/.bash_histoty를 참조하세여
@_@
아직 멀었다.. 난 여전히 시작점
warez 0 site 로 이용되고 있군요... 허허test 계
warez 0 site 로 이용되고 있군요... 허허
test 계정 자체를 없애시고..
복구 및 확인 작업시 까지
ssh 하나만 2만번 이상의 포트 번호를 이용해서 띄워 놓으시고..
ftp , telnet 등등 가능한건 일단 다 막아 놓으시길 바랍니다..
netstat -nap 해서 열려 있는 포트를 확인해 보는것두 잊지 마시구요..
=================================
:: how about a cup of tea ? ::
=================================
test 계정은 계속 사용할 거라서 비번만 바꾸었습니다.FTP 는 다
test 계정은 계속 사용할 거라서 비번만 바꾸었습니다.
FTP 는 다른 계정 사용자 때문에 막을 수 없구요.
netstat -nap 제가 보는방법을 모르겟어요.(찾아서 보겟지만)
혹시 잘못된곳 있으면 알려주세요.
감사합니다~
----------------------------------------------
# netstat -nap
[root@ test1]# netstat -nap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 702/mysqld
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 18748/xinetd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 704/httpd
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 18758/proftpd (acce
tcp 0 0 xxx.xxx.xxx.xxx:53 0.0.0.0:* LISTEN 2767/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 2767/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1917/sshd
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 18748/xinetd
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 2767/named
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 15157/sendmail: acc
tcp 0 17520 xxx.xxx.xxx.xxx:80 211.106.238.209:3537 ESTABLISHED 5178/httpd
tcp 0 0 xxx.xxx.xxx.xxx:80 61.110.170.14:1591 ESTABLISHED 8699/httpd
tcp 0 0 xxx.xxx.xxx.xxx:80 61.110.170.14:1592 ESTABLISHED 8705/httpd
tcp 0 0 xxx.xxx.xxx.xxx:80 61.110.158.153:4476 TIME_WAIT -
tcp 0 0 xxx.xxx.xxx.xxx:80 211.186.41.118:1804 FIN_WAIT2 -
tcp 0 0 xxx.xxx.xxx.xxx:80 211.186.41.118:1803 FIN_WAIT2 -
tcp 0 0 xxx.xxx.xxx.xxx:80 61.110.158.153:4593 FIN_WAIT2 -
tcp 0 0 xxx.xxx.xxx.xxx:80 61.110.158.153:4592 FIN_WAIT2 -
tcp 0 0 xxx.xxx.xxx.xxx:80 61.77.11.185:65189 ESTABLISHED 8707/httpd
tcp 0 0 xxx.xxx.xxx.xxx:80 218.13.27.13:2055 ESTABLISHED 6140/httpd
tcp 0 0 xxx.xxx.xxx.xxx:80 61.110.158.153:4490 TIME_WAIT -
tcp 0 0 xxx.xxx.xxx.xxx:80 211.213.141.61:3701 FIN_WAIT2 -
tcp 0 1 xxx.xxx.xxx.xxx:80 218.13.27.13:2059 FIN_WAIT1 -
tcp 0 16060 xxx.xxx.xxx.xxx:80 211.106.238.209:3516 ESTABLISHED 8703/httpd
tcp 0 0 xxx.xxx.xxx.xxx:80 61.110.158.153:4509 TIME_WAIT -
tcp 0 0 xxx.xxx.xxx.xxx:80 61.110.158.153:4638 ESTABLISHED 6465/httpd
tcp 0 288 xxx.xxx.xxx.xxx:22 211.209.125.25:1402 ESTABLISHED 5956/sshd
udp 0 0 0.0.0.0:33043 0.0.0.0:* 2767/named
udp 0 0 xxx.xxx.xxx.xxx:53 0.0.0.0:* 2767/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 2767/named
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 9 [ ] DGRAM 976 538/syslogd /dev/log
unix 2 [ ACC ] STREAM LISTENING 1524 702/mysqld /tmp/mysql.sock
unix 2 [ ] DGRAM 5293525 18758/proftpd (acce
unix 2 [ ] DGRAM 5293494 18748/xinetd
unix 2 [ ] DGRAM 4968161 2767/named
unix 2 [ ] DGRAM 33288 15157/sendmail: acc
unix 2 [ ] DGRAM 18678 2064/rhnsd
unix 2 [ ] DGRAM 1477 672/crond
unix 2 [ ] DGRAM 985 543/klogd
----------------------------------------------
# cat /home/test/.bash_history
[root@ns1 test1]# cat .bash_history
ls
cd ..
ls
cd ..
ls
cd ..
ls
cd home
cd mysql
cd test
cd ..
ls
cd mysql
cd test
cd ..
ls
logout
mysql
cd /usr/local/mysql/bin
ls
mysql
ls -al
mysql -uroot mysql
cd /usr/local/mysql/var
cd /usr/local/mysql/var/subdomain
cd /usr/local/mysql/
ls
ls -al
ls -al subdomain
ls
cd data
ls
su
mysql
mysql
logout
제 mysql 에 접근했어요. 어디설치 되는지 아니깐 직접경로로 바로..이동을..
mysql 에 root 계정에 비번 안걸어 두었는데, 다행이 아무짓도 안햇어요;;
허겁지겁 비번 걸엇습니다.
아직 초보라서 질문조차도 엉성할 수 있습니다.
이해하시구요.^^.
제 글을 읽어주시는 분들, 답변해주시는 분들께 항상 감사드립니다.
개인 사용자 로그는/home/test/.bash_history 이고요
개인 사용자 로그는
/home/test/.bash_history 이고요...
다른 전반적인 시스템 로그는
/var/log 디렉토리 안에 있습니다.
/var/log/messages
/var/log/auth.log
/var/log/security
등을 확인해보시면 될 것 같네요.
What a wonderful world!
^^;
그냥... 너무 흥분하지 마시고요. 이후 조치는 위에서 말씀해주신것처럼 하시고,
12G중에서 좋은 것 있으면 놓치지 말고 다운 받아 놓으세요. :D
터미네이터하고 외국영화 하나랑..야한거 두개..근데 다 지웠어
터미네이터하고 외국영화 하나랑..
야한거 두개..
근데 다 지웠어요.
이번일로 느낀건데요.
사이버공간에 핵킹프로그램들이 수도없이 돌아다니나봐요.
그래서 유추할만한 계정이나 유추할만한 비번을
무작위로 선정된 서버에 쿡쿡찔러보나봐요.
그래서 test:1234 로 설정된 계정이 발각? 됏나봐요;;
.syst 에숨긴 와레즈 폴더 및 자료도..
이름도 엄청 긴것이 프로그램으로 한거 같구요;;
사이버 조폭들인가봐요.
전 조폭 무지 싫어하는데;;
한국은 조폭을 아예 직업으로 인식하거나, 백으로 생각하더군요;;
아직 초보라서 질문조차도 엉성할 수 있습니다.
이해하시구요.^^.
제 글을 읽어주시는 분들, 답변해주시는 분들께 항상 감사드립니다.
@_@
서버의 ip를 어찌 알았는지는 모르지만
brute force공격인가 보군요
아직 멀었다.. 난 여전히 시작점
서버에 중요한 내용이 없었다면 큰 문제는 아니니 걱정마시고, 봇에 의한
서버에 중요한 내용이 없었다면 큰 문제는 아니니 걱정마시고, 봇에 의한 발견이든 어떤 경로로 침입이 일어났던지 일단은 rootkit이나 다른 backdoor가 의심됩니다. 가장 속편한 방법은 시스템을 갈아 엎어버리는 겁니다.
사실 rootkit이나 backdoor나 다른 post해킹 방법들은 수도 많고 기상천외한 것들이 워낙 많은 지라 그냥 시스템을 다시 설치하는 것을 추천합니다.
---------
Byeongweon Moon
http://tasy.jaram.org/blog
사랑하면 알게 되고 알면 보이나니 그때에 보이는 것은 전과 같지 않으리라.
[quote]사실 rootkit이나 backdoor나 다른 post해킹
이게 먼지는 잘 모르겠는데요.
제 생각에는 유추하기 쉬운 계정과 비밀번호 (test:1234) 로 일어났다고 생가하는데요. 리눅스 계정사용자( 저같은 경우는 test 로 접속한 해커) 가 위의 방법을 이용해 리눅스에 치명적인 영향을 줄 수가 있나요?
그럼 웹호스팅을 받는 수만은 계정사용자들 중에서 실력이 있는 사람은 마음만 먹으면 자신이 호스팅 받는 서버를 파괴 할 수 있다라는 뜻인가요?
다시 설치할려면.. 웹사이트 계정(5개 정도)을 다 옮겨야하고, 네임서버,APM 설정은 옮겨야 하거든요. 다른거는 설치시 디폴트 상태니 상관없지만. 그러고 보니 다시 설치해도 별로 할거는 없네요. 설정파일하고 계정만 백업해두면 되네요.
근데 제 서버가 서울에 있는 IDC 에 입고되어있거든요. 제가 직접가서 만질 수 있나요? (여긴 지방이라서..) 처음 입고는 서버호스팅을 해주는 업체에해서 했거든요. 궁금하네요 안에 제 서버 있다고 들여보내 줄런지;;
아직 초보라서 질문조차도 엉성할 수 있습니다.
이해하시구요.^^.
제 글을 읽어주시는 분들, 답변해주시는 분들께 항상 감사드립니다.
조치를 취하시는것이 좋겠네요.
실력이 없더라도 해킹사이트의 코드를 이용해서도 충분이 가능합니다.
물론 버그나 잘못된 설정등을 이용하겠지만요..
업체에 연락을 해서 간다고 미리 이야기 해놓으면 되겠죠...^^
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
로컬에 계정만 있다면...
완전히 외부에서 공격하기가 어렵지, 일단 로컬에 계정이 있는 상태라면, 실력 좋은 해커라면 충분히 root권한을 갖는것이 가능한 상태라고 봐야한다는 말을 들었습니다.
대부분 호스팅 업체들은, 내가 로컬에 로그인한 상황이 맞나싶을 정도로 command들을 제한하고 있죠. 거의 cp, chmod 정도밖에 안되더군요..... ㅡㅡ;;
--
Life is short. damn short...
[quote="cohuman1"]그럼 웹호스팅을 받는 수만은 계정사용자들
글을 보니 호스팅을 하시고 싶은 모양인데요... 연습삼아 친한 사람들에게만 열어놓는 경우라면 정상적인 shell과 환경으로 세팅하세요. 말 그대로 믿고 하는 거죠.
그렇지 않은 경우, 즉 불특정 다수를 대상으로 한 호스팅의 경우엔 chroot jail을 이용해서 환경을 완전히 조여 놓아야 합니다. 호스팅의 목적에 따라 많이 달라지겠죠. cgi를 열어 줄 것인가 아닌가도 고려해야 하고, mail, ftp 등등의 서비스도 지원하지 않을 경우 모조리 지워야겠죠. 물론 shell도 일반적인 것이 아닌 초간단버전으로 설치하구요...
유닉스에 대한 깊이있는 공부 없이 너무 성급하게 호스팅 생각만 하시면, id/password를 아무리 복잡하게 만들어도 결국엔 뒷문 열어놓고 사는 것과 같습니다.
-----
http://monpetit.posterous.com/
http://monpetit.tistory.com/
제가 모 유동 IP 서비스를 운영하고 있는데요..실제 현재 by*
제가 모 유동 IP 서비스를 운영하고 있는데요..
실제 현재 by**.net 이란 서비스를 운영하시는분은 (웹호스팅) 지금은 서버 거의 30대를 운영하고 있습니다..
대충 가입자만도 거의 만명에 육박하지 않나 싶습니다만..
그분의 경우 저희 서비스를 받으시면서 직접 자기 PC에서 유동 IP 서비스를 이용해서 개인 웹호스팅을 약 1년간 한후(무료로 다 제공) 그 노하우를 갖고 실제로 아주 저렴하게 웹호스팅을 하고 있습니다..
현재 대학생이지만 실력도 좋으셔서 성공적으로 운영을 하고 계시더군요..
(대충 추측 계산해보니 연 매출이 약 1억 5천에서 2억정도 되겠군요..)
질문 하신분이 제가 보기엔 아직은 내공이 부족하신듯 하니 유동 IP 서비스를 신청해서 개인 PC에서 무료 호스팅을 제공해보면서 먼져 여러가지를 습득하시는게 먼져 일것 같습니다.
섣불리 시도 하셨다간 안그럼 나중에 크게 후회(?)하실일이 발생 할 지도 모릅니다..
굳이 지금 서버 호스팅을 해가면서 비싼 수업료(?)를 지불할 필요는 없을것 같습니다..
추신:
여기 답변 주신분들도 어느정도 다 실력은 있으신 분들입니다..
생각하는것 만큼 사업이 괜찮다고 보여지면 이분들도 다 웹호스팅 하겠죠..
현실은 틀립니다.. 1%로만이 살아 남는다는 글귀가 불현듯 생각나네요..
=================================
:: how about a cup of tea ? ::
=================================
주제 외 질문하나..
주제외 질문하나.. 해도되죠??
잘 모른다고 생각하시고 읽어주세요..
요즘 웹호스팅을 보면 월100원, 월500원 등의 엄청나게 낮은 사용료로
서비스를 하는것 같아요.. 그런데 이렇게 받아서 운영이 가능한가요?
사용자의 선점,확보로 가능할지도 모르겠지만요..
웹호스팅을 사용하는 사람들이 개인도 있겠고, 기업도 있겠지만..
서비스를 보면 단순히 하드용량만 보면(보통200M정도인것 같아요.)
그렇게 사용하다가는 서버,하드 비용 감당하기도 만만찮을 것 같은데요..
물론 그용량 다 쓰는 사람은 많지 않겠지만요.. 그래서 운영이 가능한것인가?
어떤식으로 수익을 맞추는지 살짝(?) 말씀해 주실수 있으신지요?
사용료 이외의 것으로 수익을 맞추나?(광고등..)
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
훔.. 내가 답변을 해도 되는건지 모르겠군요.전 웹호스팅 사업은 해본
훔.. 내가 답변을 해도 되는건지 모르겠군요.
전 웹호스팅 사업은 해본적이 없습니다만.
말씀하신 내용을 좀 정리를 해볼 소지가 있을듯 합니다..
일단 웹호스팅 직접 하시는 분이 리플을 달아도 좋겠습니다..
일단 개인적인 수고는 없다고 치겠습니다.. (노동비 기타등등)
제가 예를 둔 분은 제가 알기론 한분이 직접 하고 있습니다.
현재 23개의 서버를 운영하고 있군요..
웹호스팅 이용료는 보니까
1만원/년 -> 사용량 500M 제한 이구요..
2만원/년 -> 사용량 1G
-
-
이런식으로 몇개 있군요..
한서버에 보통 300-500명정도 운영한다고 알고 있습니다.
평균잡아 400이라고 하겠습니다.
그럼 23 * 400 = 9200명이군요..
9200명이 모두 1만원/년은 아닐테니 평균 1.5 만원이라고 치면..
1억 3천 8백만원이군요..
이제 서버 호스팅 이용료를 봅시다..
KT-IDC 기준으로 1달에 약 19만원(별도) 입니다.
그러나 23대라면 달라집니다..
아마도 블럭(이런 단어를 쓰는지도 확실치 않네요)으로 쓰겠고..
dedicate 라인을 잡아다가 쓸겁니다.
그럼 100M 데디케이트로 약 2 라인을 쓴다고 치고..
23대면 할인율도 있을듯 하니..
대충 1년에 4-5천만원 정도 나가지 않을까 추측합니다..
(누가 확실하게 리플좀) 확실치는 않지만 많은 금액이 차이나진 않을것이라
보입니다..
여기서 참고해야 되는것은
잡비나 해약자, 서버에 400명이 풀로 있지 않을 경우의 수(중도 해약) 등등의 변수가 있겠죠..
대충 정리하면 이 분은 1년 연봉이 약 4-6천만원정도 된다고 보입니다.
그럼 이 문제를 다시 전체적으로 보고 정리를 해보면..
1. 만명 이상을 웹호스팅 이용자로 모집하면 가능성이 좀 보인다.
(최소한 연봉이상이 된다는 뜻입니다.)
2. 한명이 슈퍼맨이 되서 관리를 해야 한다.
(인건비 지출은 수익성 악화)
3. 사후 관리에 대한 스트레스를 감수 해야 한다.. ( 만명이니..... )
4. 사적인 일은 거의 포기 한다.. (2번의 영향이겠죠..)
이런 상황이면 가능하겠습니다.
그외에 cafe** 같은곳은 기업이지만 더 많은 사용자가 있겠죠..
더불어 여러가지 형태의 서비스도 존재하고 광고 수익도 있을꺼구..
그렇지만 다들 대동소이하게 "어려울 것이다." 라는게 제 생각입니다.
하물며 개인이 이런 사업에 뛰쳐 드는것 자체가 무의미 하며, 향후 몇년간 후유증을 유발할 소지가 다분하다는것이죠..
요즘 시대적 상황에서 2-3년이면 차라리 공부를 하던지 영업을 배우는게 좀더 효율적인 미래 계획이 될것 같습니다..
마지막으로 위에 예를 든 사이트 주인은 아주 정력이 좋구 능력 및 실력도 있으신분이고 더불어 운도 갖고 계신분입니다.. 제가 알기론 1년/만원 시대를 연분이 저분이라고 알고 있으니까요..
요즘 어떻습니까 ? 너도 나도 다 웹호스팅 하자나요 ? 그래서 몇백원 단위로 떨어지고 ..... 제살깍기의 전형입니다..
저곳은 일찍부터 했기 때문에 소문에 의해 지금도 꾸준히 가입자가 있지만 왠만한 조건 걸고는 요즘은 거들떠도 안봅니다..
그럼..
추신:
행여나 위의 예를 든 사이트 주인장님이 보시고 기분이 나쁘시다면 사과 드리겠습니다.. 혹시 삭제를 원하신다면 연락 주시면 삭제를 하겠습니다.
=================================
:: how about a cup of tea ? ::
=================================
저가 호스팅의 경우에...
윗분 말씀대로, 인건비를 절대 적으로 줄여야 하겠죠.
제가 사용했던 저가 호스팅의 경우에는 신청/접수/서버세팅.... 모든게 자동화 되있더군요. 또 전화번호도 없었습니다. 모든 연락은 홈페이지를 통해서 하게 되있었습니다. 혼자하시는것 같기도 하네요.
문제는 가격 경쟁으로 인한 서비스 질의 하락이 결국 소비자의 피해라는겁니다. 하도 영세한 호스팅 업체들이 난립하니까 이런 저런 문제들이 계속 생기는것 같습니다.
이런 업체 이용하시는 분들은, 호스팅업체의 백업 정책과 별도로 백업을 항상 받으시는게 좋습니다.
얘기가 다른곳으로 새는듯..... :?
--
Life is short. damn short...
댓글 달기