현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

서버가 뚫렸습니다.. 어떻게 뚫렸는지 알수가 없네요..

망치의 이미지
글쓴이: 망치 / 작성시간: 일, 2006/12/31 - 5:36오전

20533 ? Ss 0:00 /bin/bash /usr/bin/run-parts /etc/cron.daily
20534 ? S 0:00 /usr/bin/perl -w /etc/cron.daily/00-logwatch
20535 ? S 0:00 awk -v progname=/etc/cron.daily/00-logwatch progname {????? print progname ":\n"????? progname="";???? }???? { print; }
21910 ? S 0:00 /bin/mail -s LogWatch for localhost.localdomain root
21911 ? S 0:00 sh -c ( /bin/cat /tmp/logwatch.BEw20541/http | /etc/log.d/scripts/services/http) 2>&1
21912 ? S 0:00 sh -c ( /bin/cat /tmp/logwatch.BEw20541/http | /etc/log.d/scripts/services/http) 2>&1
21913 ? S 0:01 /bin/cat /tmp/logwatch.BEw20541/http
21914 ? R 57:12 /usr/bin/perl /etc/log.d/scripts/services/http

아파치가 계속 시퓨 100% 먹고 있길래 이상타 싶어서 봤더니 이름만 http 이고 다른게 돌고있더군요.
chkrootkit 으론 아무것도 안잡히는데..

Forums: 
설치 및 활용 QnA
망치의 이미지

글쓴이: 망치 / 작성시간: 일, 2006/12/31 - 6:00오전

음.. 조금 훑어보다 보니 뚫린게 맞는지 아닌지도 헷갈리네요 ㅡ.,ㅡ;; 첨부한 소스는 기존에 원래 있던 파일인것같은데..

어떻게 살펴봐야 하는건지 조언좀 부탁드립니다;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

망치의 이미지

글쓴이: 망치 / 작성시간: 일, 2006/12/31 - 6:18오전 

# strings -a /bin/ls | grep /
/lib/ld-linux.so.2
8/>u
:/.t
/usr/share/locale
//DIRED//
//SUBDIRED//
  -F, --classify             append indicator (one of */=@|) to entries
  -p, --file-type            append indicator (one of /=@|) to entries
//DIRED-OPTIONS// --quoting-style=%s
%m/%d/%y
/lib/ld-linux.so.2
 
 
# ls -l /proc/1/exe
lrwxrwxrwx  1 root root 0 Dec 31  2006 /proc/1/exe -> /sbin/init

게시물 검색해보고 몇가지 확인해보고 있습니다..

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

익명사용자의 이미지

글쓴이: 익명사용자 / 작성시간: 일, 2006/12/31 - 6:18오전

로그 화일 분석기네요. 원래 시스템에 있던거 cron 으로 돌리는거 같은데요

망치의 이미지

글쓴이: 망치 / 작성시간: 일, 2006/12/31 - 6:27오전

왠지 저도 갈수록 그런것같은 기분이.. 괜히 혼자 설레발 친것같은.. --;;;

logwatch 라는 녀석에 대해서 모르고 있었거든요.. 이녀석이 엄한 http 로 시퓨 100% 계속 먹고 있는걸 보고 식겁했던것같습니다;;

소스첨부한건 삭제했습니다;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

keizie의 이미지

글쓴이: keizie / 작성시간: 일, 2006/12/31 - 1:30오후

보안을 아무리 잘해놔도 제로보드에는 못 당하더군요.

송효진의 이미지

글쓴이: 송효진 / 작성시간: 일, 2006/12/31 - 5:13오후

chkrookit 만 하지 마시고,
rkhunter 도 검사하세요.
rkhunter 는 자체 DB 업데이트 옵션이 따로 있습니다.
그만큼 업데이트가 활발하기도 하고요.

emerge money

https://xenosi.de/

망치의 이미지

글쓴이: 망치 / 작성시간: 월, 2007/01/01 - 1:06오전

포스팅했던 서버는 rkhunter 에서 별 문제가 없었는데.. 다른 서버에서 rkhunter 를 돌려본 결과 다음과 같은 결과가 나왔습니다. OK 등 문제 없다고 나온 결과는 제거했습니다.

Rootkit Hunter 1.2.8 is running
 
Determining OS... Ready
 
 
* System tools
  Performing 'known good' check...
   /bin/dmesg                                                 [ BAD ]
   /bin/kill                                                  [ BAD ]
   /bin/login                                                 [ BAD ]
   /bin/mount                                                 [ BAD ]
--------------------------------------------------------------------------------
Rootkit Hunter found some bad or unknown hashes. This can be happen due replaced
binaries or updated packages (which give other hashes). Be sure your hashes are
fully updated (rkhunter --update). If you're in doubt about these hashes, contact
the author (fill in the contact form).
--------------------------------------------------------------------------------

첫 포스트 했던 녀석은 CentOS4 이고, 이 녀석은 RH9 인데.. 구버젼이라서 생긴 문제인지.. 다른 문제인지 모르겠습니다. 물론 rkhunter 설치후 update 부터 한 다음 체크 한 결과구요.

이녀석은 별다른 이상징후는 없는데.. 저런 결과가 나오니 왠지 찜찜하네요;;

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.