현재 위치

›› Forums ›› 이슈 ›› 토론, 토의

패키지들을 항상 업데이트해도 루트 계정이 뚫린다??

달파란의 이미지
글쓴이: 달파란 / 작성시간: 목, 2004/12/02 - 1:01오전

linux-sarang.net 에 어떤 분이 다음과 같은 글을 올리셨더군요.

http://linux-sarang.net/board/?p=read&table=qa&no=209068&page=3

Quote:
제가 운영중이던 작은 웹호스팅용 서버중 한대가 크랙을 당했습니다.

크래커는 사용자 디렉토리의 모든 .php .html 파일을 변경한 다음
백도어를 심었습니다. 아래는 마지막 bash_history 내용입니다.

[..중략..]

이 서버의 버전은 RH9 이구요 시스템은 항시 up2date 로 업데이트 되고 있었습니다.

RAID 디바이스 드라이버 문제 때문에
커널 버전을 2.4.20-8smp 로 유지하고 있었고
대신 /proc 의 퍼미션을 700으로 유지했었습니다.

이외엔 짚히는 곳이 없어서 조금은 막막하기에 이곳에 문의드려 봅니다.

크래커는 batistuta 라는 닉네임을 사용했습니다.

root 패스워드도 항시 12자 이상으로 유지했고
telnet 은 아예 막아놨었고 su는 관리용 아이디 하나만 허가했고
ftp로 루트 로그인 못하게 하는 등등...
보안소식도 나름대로 꼼꼼히 챙겨보고 있었는데..
최선을 다했다고 생각했는데 이렇게 뚫리니 착찹합니다.

레드햇 9으로 up2date 를 이용해 항상 최신 패키지로 업데이트하고
불필요한 서비스는 막아놓는 등의 조치를 한 서버들도 root 권한을 빼앗기는 사태가 발생하는 경우가 있는 것으로 알고 있습니다.

부지런히 패키지 업데이트해도 뚫린다니 남의 일 같지가 않습니다. :?

이런 경우는 어떤 취약점때문에 root 권한을 빼앗기게 되는 것일까요?
이런 경우와 관련된 경험담이나 확인해야할 점을 아시는 분 계신지요?

Forums: 
토론, 토의
cocas의 이미지

글쓴이: cocas / 작성시간: 목, 2004/12/02 - 1:07오전

얼마 전에 발표된 twiki 취약점을 이용해서 루트 획득이 가능했다고 합니다. ( 아파치 권한이 떨어질 거 같은데 루트가 떨어지나 보네요. 확실하지는 않습니다. ) 제가 아는 한 서버도 실제로 저 과정을 통해 뚫렸고요. 이게 아닐까 싶습니다.

dhunter의 이미지

글쓴이: dhunter / 작성시간: 목, 2004/12/02 - 1:11오전

저도 웹+PHP 스크립쪽 어택에 한표입니다.

실제로 그렇게 무너지는 웹서버 보기도 했고요.

웹 스크립트 프로그램 역시 신경 쓰기 쉽지 않아도 치명적인 백도어입니다. 서버 관리자라면 PHP 설정등을 치밀하게 잡아 막아내려는 노력이 필요합니다.

from bzImage
It's blue paper

galien의 이미지

글쓴이: galien / 작성시간: 목, 2004/12/02 - 3:20오전

바티스투타가 어느나라 선수였더라...

dyaus의 이미지

글쓴이: dyaus / 작성시간: 목, 2004/12/02 - 8:41오전

galien wrote:
바티스투타가 어느나라 선수였더라...

아르헨티나 선수였죠..
지난 월드컵때까지는 아르헨티나 대표적인 포워드 였구여..

@ php 4.3.9에 뭔가 문제가 있었다고 본것 같군요.

ydhoney의 이미지

글쓴이: ydhoney / 작성시간: 목, 2004/12/02 - 10:05오전

왜 갑자기 바티스투타 이야기가 나오지요? -_-a;;; (뭔지 잘 모르겠,.)

그나저나 이젠 kldp에도 DJ달파란이 나오는군요. 달파란과 볼빨간을 참 좋아라 했었는데..

망치의 이미지

글쓴이: 망치 / 작성시간: 목, 2005/04/14 - 11:00오전

항상 최신으로 유지해도 뚫린다..라..

참 난감하네요.. 착찹하기도 하고..

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

jj의 이미지

글쓴이: jj / 작성시간: 목, 2005/04/14 - 11:08오전

Local user들을 100% 믿을 수 있을지도 고려사항인듯.

--
Life is short. damn short...

vacancy의 이미지

글쓴이: vacancy / 작성시간: 목, 2005/04/14 - 11:09오전

웹 쪽으로 뚫렸을 가능성이 가장 높다고 봅니다만,

사실 커널 업데이트도 꾸준히 해주긴 해줘야 하지 않나요.

tasy의 이미지

글쓴이: tasy / 작성시간: 목, 2005/04/14 - 11:10오전

저도 웹프로그램의 결함으로 인한 크래킹에 한표입니다.
아무리 잘 막아도 그 부분의 결함은 프로그램단위로 손을 봐야 하는거라서..
특히, 제로보드 등의 공개 프로그램들에 결함이 많이 발견되는 것은 조심해야 할 것 같습니다.

사실 php구동의 문제기도 하죠..

---------
Byeongweon Moon
http://tasy.jaram.org/blog
사랑하면 알게 되고 알면 보이나니 그때에 보이는 것은 전과 같지 않으리라.

Risty의 이미지

글쓴이: Risty / 작성시간: 목, 2005/04/14 - 11:55오전

레드햇 리눅스의 업데이트는 한참 전에 중지되지 않았나요? 제 기억으로는 RHEL을 제외한 옛날 레드햇 리눅스 버전은 모두 작년 초중반쯤 지원을 중단했던 것 같은데요.

제가 잘못 알았거나, 중요한 패키지는 업데이트가 꾸준히 되고 있는지도 모르겠습니다만, 만약 업데이트가 중단됐다면 뚫려도 이상할 것은 없지요.

jedi의 이미지

글쓴이: jedi / 작성시간: 목, 2005/04/14 - 12:28오후

root 암호를 단순한 것으로 설정하면 아무리 업데이트를 완벽하게 해도 안되죠.
요즘 이런 공격 상당히 많던데....

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 목, 2005/04/14 - 1:05오후

웹 어플리케이션이 뚤리고 방화벽에서 특별히 outbound에 대해서 rule을 엄격하게 하지 않으면 nobody나 www-data권한을 딸 수 있고 여기서 kernel exploit 등으로 local 공격을 하면 root도 딸 수 있습니다.

dg의 이미지

글쓴이: dg / 작성시간: 목, 2005/04/14 - 1:06오후

https://rhn.redhat.com/errata/RHSA-2003-392.html
이게 아닐까요??
로컬유저 권한을 따내면 루트 따내는거는 더 쉬운게 아닌가 싶습니다.
패키지만 최신이라고 되는게 아니라
php스크립트나 커널도 신경 써야 되겠네요..

단풍의 이미지

글쓴이: 단풍 / 작성시간: 목, 2005/04/14 - 3:44오후

달파란 wrote:
linux-sarang.net 에 어떤 분이 다음과 같은 글을 올리셨더군요.

http://linux-sarang.net/board/?p=read&table=qa&no=209068&page=3

Quote:
제가 운영중이던 작은 웹호스팅용 서버중 한대가 크랙을 당했습니다.

크래커는 사용자 디렉토리의 모든 .php .html 파일을 변경한 다음
백도어를 심었습니다. 아래는 마지막 bash_history 내용입니다.

[..중략..]

이 서버의 버전은 RH9 이구요 시스템은 항시 up2date 로 업데이트 되고 있었습니다.

RAID 디바이스 드라이버 문제 때문에
커널 버전을 2.4.20-8smp 로 유지하고 있었고
대신 /proc 의 퍼미션을 700으로 유지했었습니다.

이외엔 짚히는 곳이 없어서 조금은 막막하기에 이곳에 문의드려 봅니다.

크래커는 batistuta 라는 닉네임을 사용했습니다.

root 패스워드도 항시 12자 이상으로 유지했고
telnet 은 아예 막아놨었고 su는 관리용 아이디 하나만 허가했고
ftp로 루트 로그인 못하게 하는 등등...
보안소식도 나름대로 꼼꼼히 챙겨보고 있었는데..
최선을 다했다고 생각했는데 이렇게 뚫리니 착찹합니다.

레드햇 9으로 up2date 를 이용해 항상 최신 패키지로 업데이트하고
불필요한 서비스는 막아놓는 등의 조치를 한 서버들도 root 권한을 빼앗기는 사태가 발생하는 경우가 있는 것으로 알고 있습니다.

부지런히 패키지 업데이트해도 뚫린다니 남의 일 같지가 않습니다. :?

이런 경우는 어떤 취약점때문에 root 권한을 빼앗기게 되는 것일까요?
이런 경우와 관련된 경험담이나 확인해야할 점을 아시는 분 계신지요?

Red Hat Linux 9:

SRPM:
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/kernel-2.4.20-42.9.legacy.src.rpm

i386:
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-2.4.20-42.9.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-BOOT-2.4.20-42.9.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-doc-2.4.20-42.9.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-source-2.4.20-42.9.legacy.i386.rpm

i586:
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-2.4.20-42.9.legacy.i586.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-smp-2.4.20-42.9.legacy.i586.rpm

i686:
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-2.4.20-42.9.legacy.i686.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-bigmem-2.4.20-42.9.legacy.i686.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/kernel-smp-2.4.20-42.9.legacy.i686.rpm

현재 레드헷 9 커널이 2.4.20-42.9 커널인데 사용하신 커널 버전이 낮은거 같네요.
RAID 때문에 커널 버전을 구버전으로 사용 하신게 화근인거 같네요.

kernel exploit

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 목, 2005/04/14 - 3:57오후

분면 제로보드나 테크노트, PHPbb 로 인한
로컬 계정 누출에 커널버젼이 낮아

smp 를 이용한 kernel exploit 으로 이한 해킹입니다.

커널을 업하시고

웹호스팅 서버의 취약 CGI를 패치하시기 바랍니다.

둘러보기