일단 주위에 도움을 요청하십시오.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

말씀하신 rpc는 NFS나 NIS등을 사용할 때 필요한 서비스이며 이를 제공하지 않는다면 불필요한 프로세스입니다. 물론 rpc 자체는 보안에 취약하기 때문에 시스템이 어떤 배포판의 어떤 버전인지에 따라 해킹의 요인이 될 수도 있고 그렇지 않을수도 있습니다. 그러나 아주 오래된 버전이 아니라면 일반적으로 rpc 때문에 바로 해킹을 당하지는 않습니다.

이미 해킹을 당하신 경험이 있다면, 그리고 사고 분석에 대한 경험이 없으시다면 바로 재설치를 하지 마시고, 주위에 도움을 청하시는 것이 좋을 것 같습니다. 그리고, 옆에서 사고분석 과정을 보시면 당장은 이해가 되지 않더라도 도움이 되실 것입니다. 올려주신 정보가 너무 빈약해서 무어라 말씀드릴 내용이 없네요....

아래는 일전에 답변을 올렸던 글인데, 참고하시기 바랍니다.  

해킹을 당했을 때 어떻게 대처하여야 하는지에 대해 답변드리겠습니다.

먼저 공격자가 어떤 권한까지 획득하였는지 파악하는 것이 중요합니다.
따라서 만약, 백도어 포트나 스캔 프로세스가 일반 유저 권한으로 작동하고 있었다면 해당 계정을 통해 서버에 접근하였을 가능성이 클 것이고, 이를테면 nobody 권한으로 작동하면 웹해킹을 통해 접근하였을 가능성이 클 것입니다.

만약 root 권한까지 빼앗긴 상태라면, 일단 root 암호를 변경하는 것은 그리 큰 의미가 없습니다. 왜냐하면 대부분의 공격자는 root의 암호를 알아서 접근하는 경우보다는 시스템의 취약성을 이용하거나 미리 설치한 백도어를 통해 root권한을 획득하기 때문입니다.  현재 서버의 모든 페이지가 변조되었다면 root 권한을 빼앗겼을 가능성이 더 큰 것으로 보입니다..

따라서 다음의 절차로 서버에 대한 조서를 진행하셔야 합니다.


1. 어떠한 취약성을 통해 일반 유저 및 root 권한을 획득하였는가?

2. root 권한을  획득하였다면 백도어 또는 루트킷은 설치되어 있지 않은지, (특히  부팅스크립트나 CRON등에 백도어는 없는지 확인)
    그렇다면 해당 파일들을 찾아서 모두 삭제하셔야 합니다.(삭제전 모두 백업)
    그리고, 재침입을 막기 위해 가급적 네트워크를 단절하거나 IP를 변경하여 작업하는 것이 좋습니다.
    이때 중요한 파일에 대해서는 데이터 백업도 중요합니다.

3. 시스템(커널포함)에 대한 패치 및 업데이트를 하여 취약성을 모두 제거하십시오.
    특히 최근에는 커널의 취약성을 이용해 root 권한을 획득하기 때문에
    커널의 업데이트는 중요합니다.

4. 방화벽 및 해당 데몬이 제공하는 설정을 통해 엄격한 접근 통제를 하십시오.
    아울러 쉬운 암호를 사용하는 계정은 없는지 확인하십시오..
    

그리고, chkrootkit등의 프로그램을 이용하여 원래의 깨끗한 바이너리와 비교하여 시스템내 바이너리 파일의 변조여부를 확인하신 후 새로운 패키지를 설치하거나 덮어쓰시는 것이 좋습니다. 이때 추후의 조사를 위해 백도어 파일들은 삭제하거나 그대로 덮어쓰지 마시고 임의의 디렉토리에 옮겨두는 것이 좋습니다. 물론 재 설치가 간단하고 쉬운 일일 수 있습니다. 그리고 대부분의 문서에서나 대부분의 관리자들은 재설치를 하라고 합니다. 그렇지만 그렇게 되면 또 다시 해킹을 당할 수 있을 것이고, 또 해킹을 당할때마다 재설치를 하여야 할 것입니다. 그보다는 이번 기회에 자신의 취약성은 무엇인지 또 어떻게 대처하여야 하는지 배울 수 있는 기회로 삼는 것이 좋습니다. 

물론 위 과정은 쉽지 않은 절차이지만, 하나씩 순차적으로 따르게 되면 어느새 보안과 가까워진 것을 알 수 있을 것입니다. 

이제 네트워크에 연결된 이상 보안은 결코 남의 이야기가 아닙니다. 따라서 이번 기회를 거울 삼아 보안에 더욱 관심을 갖고 보안에 가까워질 수 있는 관리자가 되시기를 바랍니다.

앞에서 언급한 절차 및 사고예방을 위해  리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/)가 큰 도움이 되실 것으로 믿습니다.

감사합니다.