현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

헉..! ㅡㅡ;;; 설마 또해킹인가.. 이런경우..

ㅡ,.ㅡ;;의 이미지
글쓴이: ㅡ,.ㅡ;; / 작성시간: 월, 2003/12/08 - 8:53오후

지금 su 명령으로 다른사용자 전환이 안되고..

root 로는 전환됩니다...ㅡㅡ;;

그뿐아니라.. 먼가 수상하다 싶어.. reboot 를 실시하니..

곧 재시작한다는 메시지만 나오고.. 재시작을 안합니다..ㅡㅡ;;

몇일동안 ftp 하나 열어둔 계정으로..
특정IP가 계속해서 하루에 10개정도 접속해서 계속접속해 있었습니다.

그리고 참고로..
[root@localhost var]# ps -ef |grep gopi
root 1005 1 0 Dec05 ? 00:00:00 login -- gopi
root 1058 1 0 Dec05 ? 00:00:00 login -- gopi
root 4212 1 0 Dec05 ? 00:00:00 login -- gopi
root 4265 1 0 Dec05 ? 00:00:00 login -- gopi
root 4314 1 0 Dec05 ? 00:00:00 login -- gopi
root 4363 1 0 Dec05 ? 00:00:00 login -- gopi
root 4439 1 0 Dec05 ? 00:00:00 login -- gopi
root 4487 1 0 Dec05 ? 00:00:00 login -- gopi
root 4533 1 0 Dec05 ? 00:00:00 login -- gopi
root 4584 1 0 Dec05 ? 00:00:00 login -- gopi
root 4906 1 0 Dec05 ? 00:00:00 login -- gopi
root 4959 1 0 Dec05 ? 00:00:00 login -- gopi
root 17383 16448 0 20:01 pts/14 00:00:00 grep gopi

이건지금 로그인해있다는 뜻인가요?

도와주세요...

Forums: 
설치 및 활용 QnA
hys545의 이미지

글쓴이: hys545 / 작성시간: 월, 2003/12/08 - 9:11오후

ㅡ,.ㅡ;; wrote:
지금 su 명령으로 다른사용자 전환이 안되고..

root 로는 전환됩니다...ㅡㅡ;;

그뿐아니라.. 먼가 수상하다 싶어.. reboot 를 실시하니..

곧 재시작한다는 메시지만 나오고.. 재시작을 안합니다..ㅡㅡ;;

몇일동안 ftp 하나 열어둔 계정으로..
특정IP가 계속해서 하루에 10개정도 접속해서 계속접속해 있었습니다.

그리고 참고로..
[root@localhost var]# ps -ef |grep gopi
root 1005 1 0 Dec05 ? 00:00:00 login -- gopi
root 1058 1 0 Dec05 ? 00:00:00 login -- gopi
root 4212 1 0 Dec05 ? 00:00:00 login -- gopi
root 4265 1 0 Dec05 ? 00:00:00 login -- gopi
root 4314 1 0 Dec05 ? 00:00:00 login -- gopi
root 4363 1 0 Dec05 ? 00:00:00 login -- gopi
root 4439 1 0 Dec05 ? 00:00:00 login -- gopi
root 4487 1 0 Dec05 ? 00:00:00 login -- gopi
root 4533 1 0 Dec05 ? 00:00:00 login -- gopi
root 4584 1 0 Dec05 ? 00:00:00 login -- gopi
root 4906 1 0 Dec05 ? 00:00:00 login -- gopi
root 4959 1 0 Dec05 ? 00:00:00 login -- gopi
root 17383 16448 0 20:01 pts/14 00:00:00 grep gopi

이건지금 로그인해있다는 뜻인가요?

도와주세요...

]
해킹 맞는걸로 보입니다
ftp로 뉴군가가 계속해서 접속하고 잇다면
우선 ftp막아놓고
모든 네트워크 관련 데몬 다막고
그리고 /var/log
여기 로그 체크해보세여
여기 누가 로그인했난 다나옵니다
그리고 혹시 트로이 목마 심어놓았을수도 잇습니ㅏ

즐린

Saintlinu의 이미지

글쓴이: Saintlinu / 작성시간: 월, 2003/12/08 - 10:49오후

의심나실때는 동일 버젼의 su를 구하셔서 비교해보시면

단번에 알 수 있습니다 ( 물론 su file을 구하기가 쉽지는 않겠지만요.. )

단순히 kidz에 의한 크래킹이라면 chkrootkit 같은 툴을 한번 돌려

보는 것도 괜찮은 방법입니다.

그리고 reboot 명령 이후 will be down 어쩌고 나오고 리부팅이 되지

않는것은 init가 크래킹 당했을 수도 있다고 보여집니다.

행복하세요 ^_^

ㅡ,.ㅡ;;의 이미지

글쓴이: ㅡ,.ㅡ;; / 작성시간: 화, 2003/12/09 - 9:54오전

Saintlinu wrote:
의심나실때는 동일 버젼의 su를 구하셔서 비교해보시면

단번에 알 수 있습니다 ( 물론 su file을 구하기가 쉽지는 않겠지만요.. )

단순히 kidz에 의한 크래킹이라면 chkrootkit 같은 툴을 한번 돌려

보는 것도 괜찮은 방법입니다.

그리고 reboot 명령 이후 will be down 어쩌고 나오고 리부팅이 되지

않는것은 init가 크래킹 당했을 수도 있다고 보여집니다.

님들 답변감사 합니다..

그런데 혹시 한컴 2.2 사용하시는분 없나... 있으시면 su 크기 리플좀달아주세요..
======================
그런데 방금생각난것이 있는데.. 이런하드가 있으면 좋겠다는 생각을 해봤습니다.

하드에 쓰기방지 스윗치가 있고.. 변경될필요가없는 운영체 부분을 그하드에깔고난후 쓰기방제 스윗치로 잠궈둘수있는...ㅡㅡ;

또다른제품도 생각나는것이... 슬롯부분에 삽입할수 있는 memory 카드 비슷한것으로 날마다 일정량의 데이터를 저장만할수 있는 memory 카드.. 지워지는것은 FIFO 방식으로 먼저 입력된것이 날자데로 지워지는 제품을 만든다면..

Log 를 거기에 기록한다면 해커가 흔적을 지울수 없겠죠.. ㅡㅡ;

누가 제반짝 아이디어를 사가세요..^,.^;


----------------------------------------------------------------------------

larycho의 이미지

글쓴이: larycho / 작성시간: 화, 2003/12/09 - 10:04오전

rpm -V <package name>을 사용해 보세요..
그러면 설치시 설치된 패키지와 차이점을 확인 하실수 있습니다.

ㅡ,.ㅡ;;의 이미지

글쓴이: ㅡ,.ㅡ;; / 작성시간: 화, 2003/12/09 - 10:07오전

larycho wrote:
rpm -V <package name>을 사용해 보세요..
그러면 설치시 설치된 패키지와 차이점을 확인 하실수 있습니다.

[root@localhost root]# rpm --version su
RPM version 4.0.3
[root@localhost root]# rpm --version reboot
RPM version 4.0.3


----------------------------------------------------------------------------

서지훈의 이미지

글쓴이: 서지훈 / 작성시간: 화, 2003/12/09 - 10:51오전

랜선 뽑고...
upgrade...
이것도 임시 방편이고...
백업을 한 후...
완전히 새로 설치 하세요... 절대!!!

<어떠한 역경에도 굴하지 않는 '하양 지훈'>

#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);

eezen의 이미지

글쓴이: eezen / 작성시간: 화, 2003/12/09 - 10:56오전

ㅡ,.ㅡ;; wrote:
larycho wrote:
rpm -V <package name>을 사용해 보세요..
그러면 설치시 설치된 패키지와 차이점을 확인 하실수 있습니다.

[root@localhost root]# rpm --version su
RPM version 4.0.3
[root@localhost root]# rpm --version reboot
RPM version 4.0.3

-V 는 version이 아니라 verify입니다. 갑자기 version은....

ㅡ,.ㅡ;;의 이미지

글쓴이: ㅡ,.ㅡ;; / 작성시간: 화, 2003/12/09 - 12:43오후

eezen wrote:

-V 는 version이 아니라 verify입니다. 갑자기 version은....

하하하 그렇군요..^,,^;;;;;;;;
그런데.. 아무메시지도 안나오는데 왜그렇죠? ㅡㅡ;; 전혀 무반응...


----------------------------------------------------------------------------

hys545의 이미지

글쓴이: hys545 / 작성시간: 화, 2003/12/09 - 1:13오후

ㅡ,.ㅡ;; wrote:
eezen wrote:

-V 는 version이 아니라 verify입니다. 갑자기 version은....

하하하 그렇군요..^,,^;;;;;;;;
그런데.. 아무메시지도 안나오는데 왜그렇죠? ㅡㅡ;; 전혀 무반응...


그럼 이상이 업는겁니다
리녹스에서 무소식은 희소식입니다

즐린

punking의 이미지

글쓴이: punking / 작성시간: 화, 2003/12/09 - 2:36오후

ㅡ,.ㅡ;; wrote:
Saintlinu wrote:
의심나실때는 동일 버젼의 su를 구하셔서 비교해보시면

단번에 알 수 있습니다 ( 물론 su file을 구하기가 쉽지는 않겠지만요.. )

단순히 kidz에 의한 크래킹이라면 chkrootkit 같은 툴을 한번 돌려

보는 것도 괜찮은 방법입니다.

그리고 reboot 명령 이후 will be down 어쩌고 나오고 리부팅이 되지

않는것은 init가 크래킹 당했을 수도 있다고 보여집니다.

님들 답변감사 합니다..

그런데 혹시 한컴 2.2 사용하시는분 없나... 있으시면 su 크기 리플좀달아주세요..
======================
그런데 방금생각난것이 있는데.. 이런하드가 있으면 좋겠다는 생각을 해봤습니다.

하드에 쓰기방지 스윗치가 있고.. 변경될필요가없는 운영체 부분을 그하드에깔고난후 쓰기방제 스윗치로 잠궈둘수있는...ㅡㅡ;

또다른제품도 생각나는것이... 슬롯부분에 삽입할수 있는 memory 카드 비슷한것으로 날마다 일정량의 데이터를 저장만할수 있는 memory 카드.. 지워지는것은 FIFO 방식으로 먼저 입력된것이 날자데로 지워지는 제품을 만든다면..

Log 를 거기에 기록한다면 해커가 흔적을 지울수 없겠죠.. ㅡㅡ;

누가 제반짝 아이디어를 사가세요..^,.^;

한컴을 쓰셨군요 한컴을 욕하려는건 아니지만 일반적인 한컴쎄팅으로는
핵킹당하기 일수 입니다..
저도 같은경우도 2번이나 당했고요 제주위에도 몇분있네요..한컴을 써서 핵킹
당하기 보단 한컴 팩키징에 문제가 좀있다고 봅니다...서버로 쓰지말고 데스크 탑으로 만쓰길 권합니다...
mudori의 이미지

글쓴이: mudori / 작성시간: 화, 2003/12/09 - 3:49오후

변경된 파일이 있는지도 확인

jedi의 이미지

글쓴이: jedi / 작성시간: 화, 2003/12/09 - 4:24오후

ㅡ,.ㅡ;; wrote:

그런데 혹시 한컴 2.2 사용하시는분 없나... 있으시면 su 크기 리플좀달아주세요..
======================
그런데 방금생각난것이 있는데.. 이런하드가 있으면 좋겠다는 생각을 해봤습니다.

하드에 쓰기방지 스윗치가 있고.. 변경될필요가없는 운영체 부분을 그하드에깔고난후 쓰기방제 스윗치로 잠궈둘수있는...ㅡㅡ;

또다른제품도 생각나는것이... 슬롯부분에 삽입할수 있는 memory 카드 비슷한것으로 날마다 일정량의 데이터를 저장만할수 있는 memory 카드.. 지워지는것은 FIFO 방식으로 먼저 입력된것이 날자데로 지워지는 제품을 만든다면..

Log 를 거기에 기록한다면 해커가 흔적을 지울수 없겠죠.. ㅡㅡ;

누가 제반짝 아이디어를 사가세요..^,.^;

1. su가 sh-utils에 들어 있으니까 이파일 버전이 같다면 같은 su 겠죠?
참고로..
sh-utils-2.0.12-3
$ md5sum /bin/su
9960453d754398e3913626356e0fea08 /bin/su

sh-utils-2.0.11
$ md5sum su
e3b5273223176b6ab0bef229738951a8 su

2. 쓰기 방지탭이라...... 읽기 전용으로 마운트 하면 되죠.... 그리고 마지막 접근시간 등 하드 전체를 쓰기 금지하면 운영이 불가능 할겁니다.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

ㅡ,.ㅡ;;의 이미지

글쓴이: ㅡ,.ㅡ;; / 작성시간: 화, 2003/12/09 - 8:09오후

jedi wrote:

2. 쓰기 방지탭이라...... 읽기 전용으로 마운트 하면 되죠.... 그리고 마지막 접근시간 등 하드 전체를 쓰기 금지하면 운영이 불가능 할겁니다.

읽기 전용으로 마운트 해두면.. 어차피 root 권한을 해킹하면.. 쓰기모드로 마운드 할수 있을거니까.....ㅡㅡ;;

하드를 두개두는거죠.. 시스템file 같은 절대 변경되지 않을부분들과 log 같은것을과 tmp 같은것들은 일반하드에 따로 두는거죠..


----------------------------------------------------------------------------

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.