서버가 뚫린 후 키보드입력을 전송하는 프로그램이 설치됨.
글쓴이: BuzzLy / 작성시간: 월, 2006/02/20 - 7:42오후
제가 관리하는 서버의 일반 유저계정이 뚫려서
/var/tmp/lol 이 생기고 여기에서 try라는 바이너리가
실행되고 있었습니다. try는 다른 컴퓨터로 공격을
유저의 비밀번호를 알아내려 계속 시도하고 있었구요.
같은 디렉토리에는 이런 log가 생겨있었는데
KEYLOG21x.x7.1x6.1x2:0.0
여기에는 유저 계정이 뚫린 컴퓨터의 키보드 입력이
모두 저장되어 있었습니다. 이렇게 해서 sudo나
다른 컴퓨터의 root로 로긴할 때 root password를
가로채려는 의도 같은데...
내용이 이렇네요...-_-
ssh sxdlxxx[Shift_L]@xxxxx.chem.xx.edu.xx 18czerwiec79 ssh sxdlxxx[Shift_L]@xxxxx.chem.xx.edu.xx 18czerwiec6 [Shift_L]TERM=vt100 ks ls pine [Up][Shift_L]>[Down][Shift_L]>dd[Shift_L]Rn[Shift_L]Dear [Shift_L]Anne, yes, [Shift_L]I send the review on [Shift_L]Friday, 17/02/06. [Shift_L]entering www page, submir review. [Shift_L]Please, let me know if it reach you. [Up][Up][Up][Right][Right][Right][Right][Right][Right][Right][Right][Right][Righ t][Right][Right][Right][Right][Right][Right][Right][Right][Right][Right][Right][ Right][Right][Right][Rightt[Down][Down][Down]yours joanna sadlej[Control_L]^Xydddddddddddddd[Shift_L]Rn[Shift_L]Swietnie [Shift_L]e [Shift_L]Ewo,
(질문 1) 혹시 이런 공격프로그램 아시나요?
교수님께 말씀 드려야할 것 같은데 좀 더 자세히 알고 싶어서요.
로그화일을 보면 authentication failure라는 것 없이
단번에 들어왔던데.... 제가 관리하는 서버의 경우도 다른 곳에서
유저계정이 뚫리고 그 계정으로 lol이라는 것이 설치가 되고
이쪽으로 들어오는 비밀번호를 알아내고 들어온것 같습니다.
마침 이 계정의 소유자가 관리하는 서버가 얼마전에 공격당했었
거든요.
Feb 17 05:44:15 subway1 sshd[7901]: Accepted keyboard-interactive/pam for anxxxxres from ::ffff:86.34.190.135 port 4586 ssh2
(질문 2) 제 서버는 유저계정만 뚫린 것으로 보이는데 시스템을 다시
설치해야하진 않겠죠?
(질문 3) 이건 좀 초보적인 듯한데.. --; ssh port를 22로 해놓았는데
다른 (1024보다 큰) port로 들어올 수 있나요? log를 보면 다른
포트로 접속성공한 기록이 남아 있던데..
Forums:
(답변 1) 저의 예상으로는 다른곳에서 아이디와 비번이 유출된뒤 공격을
(답변 1) 저의 예상으로는 다른곳에서 아이디와 비번이 유출된뒤 공격을 당했거나 그 사람을 아는 사람의 소행인것으로 보입니다만 잘모르겠습니다.
(답변 2) 키로거가 그 사용자의 입력 내용만 기록한다면 키로거를 지우시고 키로거가 설치된적이 있다고 그 사용자분께 알려드리고 비번을 바꾸라고 하시기 바랍니다. 만약 루트의 키 입력 내용까지 기록된다면 고려해봐야할지도 모르겠군요.
(답변 3)혹시
Feb 17 05:44:15 subway1 sshd[7901]: Accepted keyboard-interactive/pam for anxxxxres from ::ffff:86.34.190.135 port 4586 ssh2
에서 from ::ffff:86.34.190.135 port 4586부분을 이야기하시는 것이라면 정상입니다.RET ;My life :P
[quote="Stand Alone Complex"](답변 1) 저의 예
둘 중 하나라면 전자 같군요. 공격에 사용된 유저의 컴퓨터가 며칠전에
공격당했었거든요.
도움 말씀 감사합니다~ ^^
위 예에서 port 4586은 무엇을 뜻하나요? ssh에 대해서 잘 모르면서
서버를 관리하는게 부끄럽네요~ :oops:
S.H.
[quote="BuzzLy"][quote](답변 3)혹시[code
저것의 뜻은 클라이언트의 포트 4586에서 서버의 ssh 포트에 접속 했다는 의미입니다. from에 주목하세요.
RET ;My life :P
http port가 80번이지만, 이 서비스를 이용하는 소켓의 포트도 8
http port가 80번이지만, 이 서비스를 이용하는 소켓의 포트도 80일 필요가 없죠.
즉, src포트는 어느 포트이던지 Dst포트만 80이면 됩니다.
위도 마찬가지죠... Dst 포트가 22번 ssh를 이용하는 특정 아이피의 특정포트가 표시된 것입니다.
크게 의미는 없죠.
그렇군요~ client의 포트도 같다고만 생각하고 있었는데 그게아니네
그렇군요~ client의 포트도 같다고만 생각하고 있었는데 그게
아니네요~
감사합니다. ~ ^^
댓글 달기