현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

서버가 뚫린 후 키보드입력을 전송하는 프로그램이 설치됨.

BuzzLy의 이미지
글쓴이: BuzzLy / 작성시간: 월, 2006/02/20 - 7:42오후

제가 관리하는 서버의 일반 유저계정이 뚫려서
/var/tmp/lol 이 생기고 여기에서 try라는 바이너리가
실행되고 있었습니다. try는 다른 컴퓨터로 공격을
유저의 비밀번호를 알아내려 계속 시도하고 있었구요.
같은 디렉토리에는 이런 log가 생겨있었는데

KEYLOG21x.x7.1x6.1x2:0.0

여기에는 유저 계정이 뚫린 컴퓨터의 키보드 입력이
모두 저장되어 있었습니다. 이렇게 해서 sudo나
다른 컴퓨터의 root로 로긴할 때 root password를
가로채려는 의도 같은데...

내용이 이렇네요...-_-

 ssh sxdlxxx[Shift_L]@xxxxx.chem.xx.edu.xx
18czerwiec79
ssh sxdlxxx[Shift_L]@xxxxx.chem.xx.edu.xx
18czerwiec6
[Shift_L]TERM=vt100
ks
ls
pine
[Up][Shift_L]>[Down][Shift_L]>dd[Shift_L]Rn[Shift_L]Dear [Shift_L]Anne,

yes, [Shift_L]I send the review on [Shift_L]Friday, 17/02/06.
[Shift_L]entering www page, submir review. [Shift_L]Please,
let me know if it reach you.

[Up][Up][Up][Right][Right][Right][Right][Right][Right][Right][Right][Right][Righ
t][Right][Right][Right][Right][Right][Right][Right][Right][Right][Right][Right][
Right][Right][Right][Rightt[Down][Down][Down]yours
joanna sadlej[Control_L]^Xydddddddddddddd[Shift_L]Rn[Shift_L]Swietnie [Shift_L]e
[Shift_L]Ewo,

(질문 1) 혹시 이런 공격프로그램 아시나요?
교수님께 말씀 드려야할 것 같은데 좀 더 자세히 알고 싶어서요.

로그화일을 보면 authentication failure라는 것 없이
단번에 들어왔던데.... 제가 관리하는 서버의 경우도 다른 곳에서
유저계정이 뚫리고 그 계정으로 lol이라는 것이 설치가 되고
이쪽으로 들어오는 비밀번호를 알아내고 들어온것 같습니다.
마침 이 계정의 소유자가 관리하는 서버가 얼마전에 공격당했었
거든요.

Feb 17 05:44:15 subway1 sshd[7901]: Accepted keyboard-interactive/pam for anxxxxres from ::ffff:86.34.190.135 port 4586 ssh2

(질문 2) 제 서버는 유저계정만 뚫린 것으로 보이는데 시스템을 다시
설치해야하진 않겠죠?
(질문 3) 이건 좀 초보적인 듯한데.. --; ssh port를 22로 해놓았는데
다른 (1024보다 큰) port로 들어올 수 있나요? log를 보면 다른
포트로 접속성공한 기록이 남아 있던데..

Forums: 
설치 및 활용 QnA
Stand Alone Complex의 이미지

글쓴이: Stand Alone Complex / 작성시간: 월, 2006/02/20 - 8:05오후

(답변 1) 저의 예상으로는 다른곳에서 아이디와 비번이 유출된뒤 공격을 당했거나 그 사람을 아는 사람의 소행인것으로 보입니다만 잘모르겠습니다.
(답변 2) 키로거가 그 사용자의 입력 내용만 기록한다면 키로거를 지우시고 키로거가 설치된적이 있다고 그 사용자분께 알려드리고 비번을 바꾸라고 하시기 바랍니다. 만약 루트의 키 입력 내용까지 기록된다면 고려해봐야할지도 모르겠군요.
(답변 3)혹시Feb 17 05:44:15 subway1 sshd[7901]: Accepted keyboard-interactive/pam for anxxxxres from ::ffff:86.34.190.135 port 4586 ssh2에서 from ::ffff:86.34.190.135 port 4586부분을 이야기하시는 것이라면 정상입니다.

RET ;My life :P

BuzzLy의 이미지

글쓴이: BuzzLy / 작성시간: 월, 2006/02/20 - 8:26오후

Stand Alone Complex wrote:
(답변 1) 저의 예상으로는 다른
곳에서 아이디와 비번이 유출된뒤 공격을 당했거나 그 사람을 아는
사람의 소행인것으로 보입니다만 잘모르겠습니다.:

둘 중 하나라면 전자 같군요. 공격에 사용된 유저의 컴퓨터가 며칠전에
공격당했었거든요.

도움 말씀 감사합니다~ ^^

Quote:

(답변 3)혹시Feb 17 05:44:15 subway1 sshd[7901]: Accepted keyboard-interactive/pam for anxxxxres from ::ffff:86.34.190.135 port 4586 ssh2에서 from ::ffff:86.34.190.135 port 4586부분을 이야기하시는 것이라면
정상입니다.

위 예에서 port 4586은 무엇을 뜻하나요? ssh에 대해서 잘 모르면서
서버를 관리하는게 부끄럽네요~ :oops:

S.H.

Stand Alone Complex의 이미지

글쓴이: Stand Alone Complex / 작성시간: 월, 2006/02/20 - 8:31오후

BuzzLy wrote:

Quote:

(답변 3)혹시Feb 17 05:44:15 subway1 sshd[7901]: Accepted keyboard-interactive/pam for anxxxxres from ::ffff:86.34.190.135 port 4586 ssh2에서 from ::ffff:86.34.190.135 port 4586부분을 이야기하시는 것이라면
정상입니다.

위 예에서 port 4586은 무엇을 뜻하나요? ssh에 대해서 잘 모르면서
서버를 관리하는게 부끄럽네요~ :oops:

S.H.


저것의 뜻은 클라이언트의 포트 4586에서 서버의 ssh 포트에 접속 했다는 의미입니다. from에 주목하세요.

RET ;My life :P

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 월, 2006/02/20 - 8:33오후

http port가 80번이지만, 이 서비스를 이용하는 소켓의 포트도 80일 필요가 없죠.

즉, src포트는 어느 포트이던지 Dst포트만 80이면 됩니다.

위도 마찬가지죠... Dst 포트가 22번 ssh를 이용하는 특정 아이피의 특정포트가 표시된 것입니다.

크게 의미는 없죠.

BuzzLy의 이미지

글쓴이: BuzzLy / 작성시간: 월, 2006/02/20 - 8:47오후

그렇군요~ client의 포트도 같다고만 생각하고 있었는데 그게
아니네요~
감사합니다. ~ ^^

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.