현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

메일서버가 이상합니다 ㅜ0ㅜ/ 살려줘요~

tinywolf의 이미지
글쓴이: tinywolf / 작성시간: 목, 2004/01/29 - 2:29오후

회사 네트워크를 새로 구성하는 김에..
안에 제 도메인을 같이 넣어서 운영해 볼려고 잠시 걸어놨었지요..

그런데 어제부터 (설치후 3일째) 갑자기 이상한 메일들이 폭주하고 있습니다.

ps -ax | grep sendmail 해서 보니..

Quote:

9237 ? S 0:00 sendmail: accepting connections
9248 ? S 0:00 sendmail: Queue runner@01:00:00 for /var/spool/client
9788 ? S 0:00 sendmail: q3/i0P3B7Cx003833 mnemosyne.test.com.: user

이상한 프로세스가 떠있고.. (마지막줄)

그리고 제목이 hello인 이상한 메일을 로컬 뿐만 아니라 여기저기에 뿌리고 있습니다..

LogWatch로 날아온 내용을 보니..

Quote:

i0RFEF7X005001: lost input channel from cliente-217217186021.uBRseb01.supercable.es [217.217.186.21] to MTA after data
i0RFdH7X005028: lost input channel from [61.161.76.227] to MTA after data
i0RFnG7X005036: lost input channel from [211.168.17.231] to MTA after rcpt
..... 절라 많지만 너무 많아서 첨부파일로 넣어드립니다..

이런식의 로그가 잔~뜩!!

여기에 적혀있는 ip들은
61.161.76.227
211.168.17.231
218.235.99.70
66.215.122.250...
종류도 아주 다양~

그중에서 218.235.99.70은 회사 내부 ip..
해당 컴퓨터를 v3와 no-ad를 통해 검사해보았지만 이상징후 발견하지 못함..

일단 제 도메인을 정지 시키고..
서버를 리붓 시켜서 상황은 정리했습니다만..
무섭군요~

뭐 제 메일 주소야 1년 가까이 썼으니 여기저기 알려졌을 수도 있지만..
아직까지 스팸메일 한통 안받아본 주소입니다.

그런데 도메인을 사용할 수 있게 등록하고 도메인 등록 업체에 네임서버 등록을 하고 나서 몇시간 지나지도 않아 이런 일을 당하니 당황스럽습니다.

대체 무슨일일까요??

sendmail로 회사 메일서버를 하려니 정말 어렵군요..
처음해보는 거라 어리버리대는데 이런일까지 있고보니...
동료가 윈도우용 메일서버를 알아보자고 하네요..
"서버는 리눅스야!! 강력하지!!"라는 생각을 가지고 있던 저도 편한 윈도우로 자꾸 마음이 가네요..

일단 여기서 알아낸 milter라는걸 써서 막을 수 있는지 알아봐야겠습니다..

File attachments: 
첨부파일 크기
Plain text icon LogWatch.txt73.05 KB
Forums: 
설치 및 활용 QnA
luscent의 이미지

글쓴이: luscent / 작성시간: 목, 2004/01/29 - 2:34오후

웜 바이러스

관리자분이 IT쪽 뉴스 잘 안보시나봐요..

요즘 한참 메일 웜 때문에 난리라는...

마이둠~~~~~~~~~~~~~~~~~~~

Quote:

`마이둠` 웜 변종 국내 유입 우려
[edaily 2004-01-29 10:21:00]


[edaily 김세형기자] 하우리(049130)는 29일 최근 발생한 "마이둠" 웜의 변종인 I-Worm.Win32.Mydoom.29184이 해외에서 빠르게 확산되고 있다며 국내 사용자들의 주의를 당부했다.
변종 마이둠 웜은 원형과 마찬가지로 이메일이나 P2P 공유 프로그램인 KaZaA를 이용해 확산되며 메일 보낸 사람 이름도 그때 그때 다르게 변형된다. 메일 제목은 Error, Status, Server Report, Mail Transaction Failed, Mail Delivery System, hello, hi 등에서 임의로 웜이 골라 붙인다.

웜 제작자는 시스템에 침투해 악의적인 영향을 끼칠 수 있도록 감염된 컴퓨터의 TCP 포트 중 3127번 포트를 임의로 열어놓기 때문에, 감염시 해킹이나 정보유출과 같은 위험에 노출될 수 있다.

변종이 원형과 다른 점은 웜이 도스(DoS) 공격하는 웹사이트가 SCO 그룹의 홈페이지(www.sco.com) 외에도 MS 홈페이지(www.microsoft.com)로 하나 더 늘었다는 점. 바이러스 제작자가 I-Worm.Win32.Mydoom.29184 웜에 감염된 컴퓨터는 2004년 2월 1일부터는 SCO 그룹 웹사이트를, 2004년 2월 3일부터는 MS 홈페이지를 도스 공격하는 기능을 추가시켰다고 하우리측은 분석했다.

하우리는 또 변종 웜이 특정 보안 업체의 홈페이지나 MS 웹사이트 등에 접속하지 못하도록 차단하는 기능이 추가됐다며 변종 웜에 감염된 사용자가 특정 백신업체 홈페이지에 접속해 백신 프로그램을 다운로드 받으려 할 때 웜의 방해로 문제가 발생한다고 설명했다.

접속을 방해하는 사이트는 트렌드마이크로, 소포스, 시만텍, 맥아피, 네트워크어소시에이츠, F-시큐어 등 외국 보안업체의 사이트.

한편 하우리는 변종 웜은 2004년 3월 1일 부터 확산이 중단되도록 프로그램 돼있어, 3월1일 부터는 백도어 기능이나 도스공격 기능만 살아있고 더 이상의 확산은 일어나지 않는다고 덧붙였다.

또 마이둠 웜에 의한 도스 공격의 표적이 된 SCO 그룹에서는 자사를 공격하도록 제작된 마이둠 웜의 제작자를 검거하기 위해 25만 달러의 현상금을 걸은 것으로 알려지고 있다.

Copyrightⓒ 2000-2004 edaily. All rights reserved.


tinywolf의 이미지

글쓴이: tinywolf / 작성시간: 목, 2004/01/29 - 2:44오후

오우 답변 감사합니다..

원래 네트웤 관리가 제 업무가 아니다 보니..
이상이 생겼을 때나 서버 들여다 보면서 이거 왜이러나~
여기저기 인터넷 뒤져보고 하는 중이죠.. ㅎㅎ

답변을 보고 아차~ 하면서 뉴스를 보니 딱 이 바이러스군요..

Quote:
신종 웜 '마이둠'이 전세계적으로 e-메일과 P2P프로그램 '카자(KaZaA)'을 통해 급속도로 확산되고 있다.

지난 26일 해외에서 처음 발견된 `마이둠' 웜은 27일 국내에 유입돼 기승을 부리고 있다.

국내 보안업체 코코넛은 영국 보안업체 메시지랩사가 제공한 자료를 인용, '마이둠'으로 평균 12통 중 1통이 감염된 메일로 확인되고 있다고 28일 밝혔다. 이는 지난해 여름 기승을 부렸던 소빅.F가 17개통 중 1통씩 감염시킨 피해를 능가한다.

지난 26일 첫 출현한 지 27시간 만에 150만 건 이상이 감염됐고 현재 168개국에서 발생된 이 웜은 시간당 10만건의 유입 속도를 보이고 있는 것으로 나타났다.

미국에서는 무려 71%가 넘는 감염률을 보이고 있으며 캐나다(7%) 호주( 6%) 등 평균 15% 정도의 감염률을 나타냈다.

마이둠은 제목이 `Hi', `Test', `Hello', `Status' 등이며 첨부파일이 `document', `body', `readme' 등인 이메일로 전달되며 첨부파일을 실행하면 감염된다. 특히 이번 웜은 이메일 첨부파일 뿐 아니라 P2P(개인간 파일공유)프로그램을 통한 두 가지 감염경로를 취하고 있어 확산속도가 더욱 빠르다.

카자(KaZaA)라는 P2P 프로그램의 다운로드 폴더에 `winamp5', `activation_crack', `nuke2004' 등의 파일을 복사해 넣었다가 이 파일에 대한 검색요청이 들어오면 웜을 전송하는 형태로 확산되는 식이다.

이메일 제목도 Mail Delivery System, Error 등 갈수록 다양해지면서 개인PC에서 스팸차단도 어려운 실정이다.

이번 웜은 오는 2월 12일날 자동 소멸되도록 짜여져 있다.

박희진기자 behappy@moneytoday.co.kr< 저작권자 ⓒ머니투데이(경제신문) >

아.. 무섭네요...

이게 리눅스에 감염되서 자신의 프로세스를 만들 수 있는 건가...

음.. 작동 방식이 어떤건지 한번 알아봐야겠군요..

리눅스에 감염된거라면 낭패... ㅋㅋㅋ

ㅡ_ㅡ;

tinywolf의 이미지

글쓴이: tinywolf / 작성시간: 목, 2004/01/29 - 2:51오후

ㅋㅋ 동시에 답글 달기.. ㅋㅋ

ㅡ_ㅡ;

chunsj의 이미지

글쓴이: chunsj / 작성시간: 목, 2004/01/29 - 2:55오후

정말 리눅스가 감염이 되었다고 생각하시는 것은아니시죠? :-)

혹시라도 그렇게 진짜 생각하신다면 관련 업체를 빨리 만나보세요.

tinywolf wrote:
오우 답변 감사합니다..

원래 네트웤 관리가 제 업무가 아니다 보니..
이상이 생겼을 때나 서버 들여다 보면서 이거 왜이러나~
여기저기 인터넷 뒤져보고 하는 중이죠.. ㅎㅎ

답변을 보고 아차~ 하면서 뉴스를 보니 딱 이 바이러스군요..

Quote:
신종 웜 '마이둠'이 전세계적으로 e-메일과 P2P프로그램 '카자(KaZaA)'을 통해 급속도로 확산되고 있다.

지난 26일 해외에서 처음 발견된 `마이둠' 웜은 27일 국내에 유입돼 기승을 부리고 있다.

국내 보안업체 코코넛은 영국 보안업체 메시지랩사가 제공한 자료를 인용, '마이둠'으로 평균 12통 중 1통이 감염된 메일로 확인되고 있다고 28일 밝혔다. 이는 지난해 여름 기승을 부렸던 소빅.F가 17개통 중 1통씩 감염시킨 피해를 능가한다.

지난 26일 첫 출현한 지 27시간 만에 150만 건 이상이 감염됐고 현재 168개국에서 발생된 이 웜은 시간당 10만건의 유입 속도를 보이고 있는 것으로 나타났다.

미국에서는 무려 71%가 넘는 감염률을 보이고 있으며 캐나다(7%) 호주( 6%) 등 평균 15% 정도의 감염률을 나타냈다.

마이둠은 제목이 `Hi', `Test', `Hello', `Status' 등이며 첨부파일이 `document', `body', `readme' 등인 이메일로 전달되며 첨부파일을 실행하면 감염된다. 특히 이번 웜은 이메일 첨부파일 뿐 아니라 P2P(개인간 파일공유)프로그램을 통한 두 가지 감염경로를 취하고 있어 확산속도가 더욱 빠르다.

카자(KaZaA)라는 P2P 프로그램의 다운로드 폴더에 `winamp5', `activation_crack', `nuke2004' 등의 파일을 복사해 넣었다가 이 파일에 대한 검색요청이 들어오면 웜을 전송하는 형태로 확산되는 식이다.

이메일 제목도 Mail Delivery System, Error 등 갈수록 다양해지면서 개인PC에서 스팸차단도 어려운 실정이다.

이번 웜은 오는 2월 12일날 자동 소멸되도록 짜여져 있다.

박희진기자 behappy@moneytoday.co.kr< 저작권자 ⓒ머니투데이(경제신문) >

아.. 무섭네요...

이게 리눅스에 감염되서 자신의 프로세스를 만들 수 있는 건가...

음.. 작동 방식이 어떤건지 한번 알아봐야겠군요..

리눅스에 감염된거라면 낭패... ㅋㅋㅋ

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.