현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

[질문] 해킹관련입니다. 도와주십시요.

hyunil의 이미지
글쓴이: hyunil / 작성시간: 화, 2005/11/08 - 11:45오전

와우리눅스 7.0 버전으로 웹서비스를 운영하던도중 이상한 해킹을 당했기에
여러분들께 도움을 드립니다.

문제의 발단은.. 어떤 사이트로부터 통보가 시작이었습니다. 저희 서버내에
임의의 htm 문서가 존재하여 fishing 사이트로 이용이 되어지고 있다는
경고장(?)을 받게되었습니다.

평소 그다지 중요한 서비스를 운영하던 서버가 아니었기에 무슨일인가해서
접속을 해보았습니다.

그런데 이게 웬일입니까..ㅡㅡ

ls 를 해보니.. 나와야할 리스트들이 안나오고 있는 것입니다..

예를들어서.. a 라는 디렉토리에 b,c,d,e,f 라는 디렉토리 or 파일이 존재를
하고 있습니다... 하지만 ls 를 해보면.. b 만 보이고 나머지는 리스트업 되지를
않고있습니다.. 물론 cd 나 vi 등으로 열어보려 시도하면 존재하구요..

해당 파일 or 디렉토리들은 find 명령으로도 검색이 되어지지 않고 있습니다.

혹시나 ls 자체에 문제가 있을까하여 ls 를 교체도 해보았지만.. 결과는 똑같더군요

도데처 어디를 건드려 놓았길래 그런건지..

또하나.. 웹서버(아파치)가 돌아가기는 하고잇는데.. 이역시 ps 명령으로 확인을
해보면 보이지를 않았습니다.

결국 killall -9 httpd 명령으로 서비스를 내리긴 했지만..

ㅜㅜ

여러분들의 도움을 부탁드리겠습니다.. 어디서부터 점검을 해보아야 할까요..ㅜㅜ

일단 ls 명령에 의해서 숨겨진 파일이나 디렉토리들이 보여야만이 백업이라도 하고
시스템을 재설치 할수 있을거 같습니다..

그럼..

Forums: 
설치 및 활용 QnA
opt의 이미지

글쓴이: opt / 작성시간: 화, 2005/11/08 - 11:51오전

말씀하신 증상이 rootkit 이 깔린 증상과 동일한 증상을 보이고 있습니다.

http://www.chkrootkit.org/ 에서 chkrootkit 패키지를 다운받으셔서 해당 시스템에 점검해보시고, 해당 시스템을 복구하시기 바랍니다.

----
LUX ET VERITAS | Just for Fun!

hyunil의 이미지

글쓴이: hyunil / 작성시간: 화, 2005/11/08 - 12:40오후

opt wrote:
말씀하신 증상이 rootkit 이 깔린 증상과 동일한 증상을 보이고 있습니다.

http://www.chkrootkit.org/ 에서 chkrootkit 패키지를 다운받으셔서 해당 시스템에 점검해보시고, 해당 시스템을 복구하시기 바랍니다.

ㅜㅜ chkrootkit 으로 점검을 해보았습니다만 이상이 없는듯합니다.
제가 사용법을 잘 몰라서 그런지.. 감염되지 않은 메세지들만 죽
올라가네요..

돌리고 나서도 시스템에는 변화가 없습니다.

참고도 소스버전 받아서 컴파일해서 사용했습니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2005/11/08 - 12:47오후

와우 7.0쓰시네여..
당연히 해킹당할만하겠네여.. 보아하니 보안패치도 안한거같고..

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2005/11/08 - 12:55오후

netstat -anp |grep LISTEN 으로 백도어 있는지..
/tmp , /var/tmp, 파일들 확인..
ps aux 이상한 프로세스있는지 확인하여 있으면
lsof -p PID 로 체크하여 어느경로에서 실행되고있는지
확인 및 패치..요망..

중요파일백업후 재설치. 및 iptables로 모든포트막아놓고
서비스하는 포트만 열어놓으세요..

hyunil의 이미지

글쓴이: hyunil / 작성시간: 화, 2005/11/08 - 1:12오후

11 wrote:
netstat -anp |grep LISTEN 으로 백도어 있는지..
/tmp , /var/tmp, 파일들 확인..
ps aux 이상한 프로세스있는지 확인하여 있으면
lsof -p PID 로 체크하여 어느경로에서 실행되고있는지
확인 및 패치..요망..

중요파일백업후 재설치. 및 iptables로 모든포트막아놓고
서비스하는 포트만 열어놓으세요..

조언 감사드립니다.
일단 ps 명령으로 보이는것에는 이상항 프로세스는 없습니다.
/tmp, /var/tmp 에도 이상한것은 보이지 않구요..
하지만.. 근본적인 문제는 원문에도 적어놓았듯이 ls 나 ps 명령
자체를 신뢰할수 없다는 것입니다..현재..

다시한번 말씀드리자면..

예를들어 루트디렉토리 (/) 에서 ls 명령을 했을경우..
디렉토리가 한개도 안보입니다.
하지만.. cd /etc 이런식으로 이동을하면 해당위치로 이동은
되어집니다.

또한 ps 의 경우에도 ps -aux | grep httpd 하면 아무것도
없었습니다만... 웹서비스가 돌아가고 있었고..
killall -9 httpd 했더니.. 웹서비스가 중지되더군요..

ㅡㅡ 기본적으로 ls 자체가 불가능하니.. 백업도 어떻게 할수가
없는상황입니다.. ls 로 보여지기만해도 백업후 밀어버릴텐데요.ㅜㅜ

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2005/11/08 - 1:52오후

커널루트킷이 설치되어 있는 것으로 판단됩니다.
리눅스 커널에 모듈형태로 올라가 있어서
애플리케이션 레벨은 건드리지 않고도 ls 나 ps, netstat 명령의
결과에서 자신을 철저하게 숨기기 때문에
현재 시스템에서는 어찌할 방법이 없습니다.
오프라인에 구축된 다른 깨끗한 시스템에 하드 떼어다가 붙여서
백업하시고
현재의 시스템은 리빌드 하시는 것이 가장 빠른 방법입니다.

hyunil의 이미지

글쓴이: hyunil / 작성시간: 화, 2005/11/08 - 2:05오후

RedWest wrote:
커널루트킷이 설치되어 있는 것으로 판단됩니다.
리눅스 커널에 모듈형태로 올라가 있어서
애플리케이션 레벨은 건드리지 않고도 ls 나 ps, netstat 명령의
결과에서 자신을 철저하게 숨기기 때문에
현재 시스템에서는 어찌할 방법이 없습니다.
오프라인에 구축된 다른 깨끗한 시스템에 하드 떼어다가 붙여서
백업하시고
현재의 시스템은 리빌드 하시는 것이 가장 빠른 방법입니다.

이곳에서 답변해주신 모든분들께 감사드립니다.
일단 opt 님께서 알려주신 rootkit 에대해서 이리저리 알아보고
다시 검사해본결과.. 감염이 되어져있습니다.

showtee , anonoying, ShKit 이라는 부분에 rootkit 이 설치되어있다고 나오고요
ifconfig, pstree, rpcinfo 가 감염되었다는 정보를 얻을수 있었습니다.

ifconfig, pstree, rpcinfo 는 알겠는데.. showtee, anonoying, ShKit 은 어떤부분인지
통 모르겠습니다.

번복하여 남기는 글입니다만.. 우선적으로 백업을위해서 ls 로 목록정보를 볼수 있는것이
필수일듯하구요..

말씀하신대로 다른 시스템에 붙이려해도 붙일만한 시스템이 없다는게 문제입니다.ㅜㅜ

서버관리자가 없이.. 떡 볼려니까 참 힘이듭니다.ㅜㅜ

땡깡의 이미지

글쓴이: 땡깡 / 작성시간: 화, 2005/11/08 - 2:09오후

지금 현재 ls 명령으로 아무것도 보이지 않으신다는 것은 루트킷이 설치되면서 서버상의 프로그램을 다른 것으로 바꿔버린 것이든지 아니면 보이지 않도록 수정된것 같습니다.

지금 당장 서비스를 올리셔서 원격에서 백업이라도 하고자 하시면
chrootkit이나 rkhunter를 사용해서 루트킷을 찾으셔서 삭제 및 조치하시면 됩니다.

rkhunter는 http://rootkit.nl 에서 다운 받으시고 압축 푸시고 install.sh 실행하시면 /usr/local/bin/rkhunter라는 실행 파일이 생깁니다.

/usr/local/bin/rkhunter -c --createlogfile 이렇게 실행하시면 각종 실행 프로세스의 변경 유무 및 /var/log/rkhunter.log인가 이 로그에는 설치된 해킹 파일 위치가 보여집니다. 이것을 바탕으로 잡아 나가시면 되지만, 응급 조치일 뿐입니다. 복구후 백업하시고 제설치 하시기 바랍니다.

자세한 문서는 http://www.sefaq.com/bbs/zboard.php?id=linux&page=4&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=26

참고하시기 바랍니다

what is my wish?

hyunil의 이미지

글쓴이: hyunil / 작성시간: 화, 2005/11/08 - 3:58오후

땡깡 wrote:
지금 현재 ls 명령으로 아무것도 보이지 않으신다는 것은 루트킷이 설치되면서 서버상의 프로그램을 다른 것으로 바꿔버린 것이든지 아니면 보이지 않도록 수정된것 같습니다.

지금 당장 서비스를 올리셔서 원격에서 백업이라도 하고자 하시면
chrootkit이나 rkhunter를 사용해서 루트킷을 찾으셔서 삭제 및 조치하시면 됩니다.

rkhunter는 http://rootkit.nl 에서 다운 받으시고 압축 푸시고 install.sh 실행하시면 /usr/local/bin/rkhunter라는 실행 파일이 생깁니다.

/usr/local/bin/rkhunter -c --createlogfile 이렇게 실행하시면 각종 실행 프로세스의 변경 유무 및 /var/log/rkhunter.log인가 이 로그에는 설치된 해킹 파일 위치가 보여집니다. 이것을 바탕으로 잡아 나가시면 되지만, 응급 조치일 뿐입니다. 복구후 백업하시고 제설치 하시기 바랍니다.

자세한 문서는 http://www.sefaq.com/bbs/zboard.php?id=linux&page=4&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=26

참고하시기 바랍니다

해당 툴로 체크를하여 몇가지 감염정보를 얻을수 있었습니다.
해당 경로에 있는 파일들은 그냥 삭제를 하면 되는것일까요?
보면.. lib 쪽에도 있던데요.

감염파일 리스트는 아래와 같습니다.

/etc/ld.so.hash
/lib/security/.config/ssh/ 밑에 파일 전부
/lib/libext-2.so.7
/lib/lidps1.so
/dev/srd0
/lib/security/.config
/lib/security/.config/ssh
/bin/xlogin

이상입니다.

송효진의 이미지

글쓴이: 송효진 / 작성시간: 화, 2005/11/08 - 4:17오후

서버호스팅을 받고 있다면 재설치 의뢰를 하십시오.
의뢰를 하기 곤란한 상황이시면,
각종 배포판의 LiveCD 를 이용하십시오.
CD 만으로 기본적인 리눅스의 기능을 모두 사용할 수 있습니다.
용량이 제일 작은 젠투의 minimal CD 를 추천합니다.
http://gentoo.channelx.biz/releases/x86/2005.1/installcd/
네트워크까지 지원됩니다.
CD 부팅 후 네트워크 잡으시고, 하드 마운트 한 뒤
데이터를 백업하시고 포맷 후 원하는 배포본을 설치하세요.
php 코드를 이용한 크랙도 있으니 백업한 코드도 주의해야 합니다.

https://xenosi.de/

송효진의 이미지

글쓴이: 송효진 / 작성시간: 화, 2005/11/08 - 4:31오후

CD 만으로 GUI 가 지원되는 knoppix 나 그놈한국 라이브씨디도 좋습니다.

ftp://ftp.kr.freebsd.org/pub/users/tcheun/
http://gnome.or.kr/goklive/

https://xenosi.de/

땡깡의 이미지

글쓴이: 땡깡 / 작성시간: 화, 2005/11/08 - 6:15오후

/etc/ld.so.hash
/lib/security/.config/ssh/ 밑에 파일 전부
/lib/libext-2.so.7
/lib/lidps1.so
/dev/srd0
/lib/security/.config
/lib/security/.config/ssh
/bin/xlogin

위에 알려주신 것중에 대충 찍어봐도 .config 관련은 당연 다 삭제 해야 될것 같고요. /bin/xlogin은 x-windows 관련인가요? 모르는 프로세스인데 삭제해도 될듯하고.. 배째모드 발동중~~
/dev/srd0 삭제
/etc/ld.so.hash /lib/libext-2.so.7 /lib/lidps1.so 이건 아마도 lomod로 해보시면 커널에 올라가 있을지도 모르겠네요 --경험담입니다.
참고로 지금 작업 하고 계신것은 재설치를 위한 백업 및 설정 백업을 위해서 하시고, 백업이 다 되셨으면 하루 밤세시면서 고생 하시는 것이 마음이 편할 듯 합니다.
많은 도움 못 되드려 죄송합니다.

what is my wish?

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.