현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

[도움요청] 해킹관련.. 특정파일들이 재설치되는데..

ㅡ,.ㅡ;;의 이미지
글쓴이: ㅡ,.ㅡ;; / 작성시간: 수, 2005/11/16 - 6:19오후

웹디렉토리에 특정(피싱용) html 파일들이 자꾸 설치됩니다.

지워두면 몇시간뒤에 또 생성되어 있는데..

이것을 잡을방법이 없을까요?

일단 내부에서 생성이되는지 외부로부터 다시들어오는지 아직 알지 못합니다.

맨처음에는 특정계정에 history 에 wget으로 파일을 받아와 설치한 흔적이 있었는데 실상그파일을보니 그것은 root 소유자로 생성되어 있었습니다.

그다음에 설치됬을때는 그런흔적이 없었습니다.

제서버가 ssh 가 열려있고
telnet과 ftp는 외부에서는 차단되어 있습니다.

일단 OS 재설치 할때 하더라도 원인이나 알고 하고 싶습니다.
더구나 다른하드에 실치된 동일 버전의 OS 와 중요 디랙토리 (bin /sbin.. user )등을 비교해봐도 동일한것으로 나옵니다.

Forums: 
설치 및 활용 QnA
danskesb의 이미지

글쓴이: danskesb / 작성시간: 수, 2005/11/16 - 6:56오후

일단 서버의 배포판이 무엇입니까? 배포판마다 로그 파일들 구성이 조금씩 다릅니다.
/var/log/ 안에 있는 auth.log 같은 파일들을 열어 보셔서, 누가 SSH로 들어왔는지 확인해 보세요. 적어도 IP는 나옵니다.
그리고 PHP 파일들 중 파일 업로드 스크립트가 있는 파일들과 웹 서버 등이 도는 권한을 알아 보세요.
그런 스크립트가 올리는 것일 수도 있습니다.

keedi의 이미지

글쓴이: keedi / 작성시간: 수, 2005/11/16 - 7:02오후

일단 rootkit을 설치하시고 난 다음 이더넷 케이블을 뽑으시고,
무엇에 걸렸는지 확인해보면 이유를 좀 알 수 있지 않을까요?

제 경우, ssh가 뚫린 경우 대부분 비밀번호 무작위 대입인 경우가
대부분인 것 같고, 그런 경우 유측할 수 있는 계정의 허술한 비밀번호였던
것으로 기억됩니다.

--------------
수정.
(죄송합니다. rootkit이 아니라 chkrootkit 입니다.)

----
use perl;

Keedi Kim

danskesb의 이미지

글쓴이: danskesb / 작성시간: 수, 2005/11/16 - 7:07오후

keedi wrote:
일단 rootkit을 설치하시고 난 다음 이더넷 케이블을 뽑으시고,
무엇에 걸렸는지 확인해보면 이유를 좀 알 수 있지 않을까요?

ssh가 뚫린 경우 대부분 비밀번호 무작위 대입으로
유측할 수 있는 계정의 허술한 비밀번호의 경우
뚫리는 것 같습니다.

rootkit을 까는 건 괜히 떡밥 하나 더 던져 주는 격입니다.
chkrootkit, rkhunter 추천합니다.

keedi의 이미지

글쓴이: keedi / 작성시간: 수, 2005/11/16 - 7:08오후

peremen wrote:
keedi wrote:
일단 rootkit을 설치하시고 난 다음 이더넷 케이블을 뽑으시고,
무엇에 걸렸는지 확인해보면 이유를 좀 알 수 있지 않을까요?

ssh가 뚫린 경우 대부분 비밀번호 무작위 대입으로
유측할 수 있는 계정의 허술한 비밀번호의 경우
뚫리는 것 같습니다.

rootkit을 까는 건 괜히 떡밥 하나 더 던져 주는 격입니다.
chkrootkit, rkhunter 추천합니다.

아 죄송합니다 chkrootkit을 말한다는 것이 실수로.. -_-;;;

----
use perl;

Keedi Kim

오리주둥이의 이미지

글쓴이: 오리주둥이 / 작성시간: 수, 2005/11/16 - 7:50오후

chkrootkit으로 해도 못잡아내는경우도 있다고 합니다만
그래도 간단히 체크해보기에는 이만한것이 없네요.

여유되시면 nessus를 설치하셔서 클라이언트에서 보안관련으로 점검을 하시는것도 괜찮으실 겁니다.

그리고 소유자가 root로 되어있었다는걸 보니 새로 설치하시는게 좋으실것 같습니다.

저는 root의 비번이 특수문자까지 중간중간 넣어서 25자 ~30여자 정도로 합니다. -_-;

특수문자 하나만 넣어도 정말 차이가 크게 납니다.
로그를 분석하셨다면 무차별 대입을 한 내용들이 쫘악 나오실텐데.. -_-;

재설치 강추

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.