서버가 해킹당한것 같아요..
안녕하세요...
비가 오락가락하는 저녁이네요..
회사 웹서버가 해킹당한것 같습니다.
Redhat Linux Fedora4 구요...
우선 crontab에 등록하지 않은 내용이 2줄 추가되어 있더군요..ㅜ.ㅜ
* * * * * /etc/.etc/iroffer1.4.b03/iroffer.cron
0 0 * * * /var/local/logs/kernel/system/bin/reset -e -r /var/local/logs/kernel/kernel.conf
/var/local/logs/kernel 안에 보니까...
시스템에서 사용하는 명령어들의 이름을딴 쉘파일들이 우루루 들어있더군요...
그리고 /etc/rc.d/rc.local 에...
/bin/system
이 등록되어있는데..
실제로
-rwxr-xr-x 1 root root 7313 May 25 2005 /bin/system
위 파일이있는데... 안지워집니다..
[root@web ~]# rm -f /bin/system
rm: cannot remove `/bin/system': 명령이 허용되지 않음
[root@web ~]#
또 한가지 /var/log 에 파일들도 루트권한으로도 안지워집니다.
시스템에서 사용되는 명령어들도 변경된듯 합니다.
rm 도 변경되어서 지워지지 않는것인지도 모르겠네요..
/bin/의 일부만 보면...
[root@web bin]# ll
total 6400
drwxr-xr-x 2 root root 4096 Jun 28 17:17 .
drwxr-xr-x 29 root root 4096 Jun 29 20:02 ..
-rwxr-xr-x 1 root root 4760 May 4 2005 arch
lrwxrwxrwx 1 root root 4 Sep 15 2005 awk -> gawk
-rwxr-xr-x 1 root root 17248 May 25 2005 basename
-rwxr-xr-x 1 root root 686520 May 11 2005 bash
-rwxr-xr-x 1 root root 21104 May 25 2005 cat
-rwxr-xr-x 1 root root 38828 May 25 2005 chgrp
-rwxr-xr-x 1 root root 38464 May 25 2005 chmod
-rwxr-xr-x 1 root root 41852 May 25 2005 chown
-rwxr-xr-x 1 root root 63256 May 25 2005 cp
-rwxr-xr-x 1 root root 103888 May 17 2005 cpio
lrwxrwxrwx 1 root root 4 Sep 15 2005 csh -> tcsh
-rwxr-xr-x 1 root root 32312 May 25 2005 cut
삭제되지 않는 파일들과, 변경이 의심되는 파일들은
한결같이 날짜가 May 25 2005 로 되어있습니다.
로그에 기록같은거도 안남아있고요...
불행중 다행인지도 모르겠지만, 웹서버가 동작하는데 이상은 없네요.
어찌해야 할런지요... 또한 지워지지않는 파일들은 어떻게 지워야할지 고민이네요..
그럼 도와주시리라 믿고 이만 물러갑니다..
에효...
:.
해커가 설치해서 root권한으로도 안지워진다면..
# chattr -i 파일명
해서 다시 삭제 시도해보시기 바랍니다.
root권한으로도 안지워진다면
해커가 chattr을 걸어둔것일수도 있습니다..
위와같은 명령으로 풀어줄수 있습니다.
-----
http://llls.net
무슨 크래킹이건
무슨 크래킹이건 증상이 어떻건,
결론은 재설치 입니다.
웹쪽의 데이터만 백업하고, CD 부팅 재설치 하세요.
어디에 무엇을 숨겨놓았는지 알 수 없습니다.
혹, IDC 에서 대체서버를 제공해 준다면,
대체서버로 임시 운영을 하여 서비스 중단시간을 최소화 할 수 있겠지요.
emerge money
https://xenosi.de/
ㅜ.ㅡ 재설치 가야겠네요..
휴..한숨만 나옵니다.. 아무튼 고맙습니다..
^^;
알려주신대로 해봤는데 안되네요..ㅜ.ㅡ
우선 도움주셔서 고맙습니다.
chattr -i 명령은 정상적으로 되는데요...
[root@web bin]# chattr -i /bin/system
[root@web bin]# rm -f /bin/system
rm: cannot remove `/bin/system': 명령이 허용되지 않음
[root@web bin]#
삭제는 여전히 안되네요...
아.. 된통 걸린것 같습니다..
^^;
다시 한번
# cd /bin
# lsattr
해보시면 chattr이 걸린 속성을 자세히 보실수 있습니다.
------------- ./system
만약 이렇게 있다면 chattr 이 아무것도걸린것이 아닙니다.
뭔가 걸려있다면 chattr -? (속성) 해주셔서 풀어 주시기 바랍니다.
그래도 안된다면 시스템 파일이 변경됬을 확률이 높습니다.
# yum install chkrootkit
로 chkrootkit을 설치하시고
시스템 파일 변경 여부도 확인하여 보시고..
# chkrootkit
저같아도 윗분처럼 백업후 재설치를 권해드립니다.
-----
http://llls.net
감사합니다..
알려주신대로 해봤더니..아래같은 결과가 나오네요..
lsattr 로 보니 로그파일들하고 삭제되지 않던 파일들, ls, ps 등의 실행파일들에
s u i a 의 속성이 걸려있었어요..
속성 제거하고서 삭제하니 일단 삭제는 잘 되었습니다.
chkrootkit 을 사용하여 점검한결과...ㅠ.ㅠ
Checking `ifconfig'... INFECTED
Checking `pstree'... INFECTED
Checking `bindshell'... INFECTED (PORTS: 1524)
Checking `lkm'... You have 21 process hidden for readdir command
You have 31 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
당장 서버의 여유가 없어서 참 난감하네요.. 모르겠네요..
우선 급한대로...
외부에서는 http 만 가능하도록 하였고..
1524 포트는 IN/OUT을 모두 차단하였습니다.
그치만 뭔가 많이 부족한듯하네요..
정 안되면 PC에라도 우선 세팅해야 할거 같은데..
도움주신 모든분들.. 너무너무 감사합니다..
^^;
^^;
해커가 왔다가면
해커가 왔다가면 chattr이 chattr이 아닐 수도 있고, rm이 rm이 아닐 수도 있습니다.
결론은 데이타 백업 후 재설치.
정품 소프트웨어 사용 캠패인
정품 소프트웨어 사용 캠패인
댓글 달기