리눅스

이런경우가..해킹인지 한번 봐주세요..

광수새우깡 작성
작성일 2006.08.24 13:05

3,320 조회
3 댓글
0 추천
목록

해킹이 맞는지 한 번 봐주세요.

종류: sulinux

일단....

사건당일 오전에 아래와 같은 똑같은 일이 있어서 문제의 mkdk 라는 계정을 삭제하고 root 비밀번호를 한번 바꾸었습니다.

그런데 오후에....ssh접근해서 보았더니 다시 같은 현상이 발생했습니다..

1) home 밑에 제가 만들지 않은 mkdk라는 디렉토리가 생성되어있음.

2) /etc/passwd 를 열어보니..

mkdk:x:0:0::/home/mkdk:/bin/bash
마지막 줄에 이렇게 한줄이 추가되어 있음.

last 로 보니..

mkdk pts/3 190.48.102.177 Wed Aug 23 18:14 still logged in

지금도 접속되어 있는 상황이구요..

해킹같은데... 어찌 대처하면 좋을까요...

아직 별달리 삭제하거나 변경하거나 한건 없는듯 한데..

계정을 그냥 삭제해 버리면 다시 들어와 중요한거 삭제해 버릴거 같고..ㅜㅜ

시스템에 뭔가 숨겨둔거 같기도 한데...(오전에 비번을 바꿨는데 다시

들어온거니...)ㅜㅜ

아웅.. 심장 콩닥거려....

계정을 삭제해 버리려 해도 지금 로그인 중이라 삭제할수 없다고 나온거 같아요..ㅜ

이전

자동 mount 연결 방법

작성일 2006.08.24 13:52
다음

이런경우가..해킹인지 한번 봐주세요..

작성일 2006.08.24 16:44

홍보성
작성일 2006.08.27 12:14

랜케이블 일단 빼세요.
빼기 힘든 입장이시면 IPTABLES로 해당 네트워크 대역을 차단부터 하시던지.
해당 계정 삭제 해시고 ROOTKIT으로 점검 하시기 바랍니다.
이상한 프로세스, /tmp /var/tmp 등 temp 폴더 확인해보시고..

이한혁
작성일 2006.08.29 12:21

네트워크 대역의 차단으로 문제가 해결되지 않을 듯 합니다.
중요 하게 사용하여야 하는 서비스를 뺀 나머지는 비 활성화 시키시기 바랍니다.
그런후에 위의 Iptable을 이용하여야 할 듯 합니다.
telnet 보다는 ssh을 ftp 보다는 sftp의 사용을 권장 하여 드립니다.
또한 iptable을 이용하여 서버로의 직접 접근은 한정을 시키는것이 좋을듯 합니다.

광수새우깡
작성일 2006.08.30 02:27

감사합니다..

서비스때문에 서버 끌입장은 아니구요..
telnet 은 사용하지 않고 ssh를 이용합니다..

경고메일이 오는데(sulinux에서 자동으로 오는메일)

제로보드 세션쪽 관련해서 계속..경고메일이 왔더군요..

제로보드 버전이 4.1 pl4 ...전에 보안 문제가 있었다는 버전 같아요..

사용자분에게 물어보니 그냥 설치만 하시고 패치는 안했다고 하시던데..

혹시 그런걸루 저정도의 해킹이 가능한건가요..

참고로..

어제는 일반계정 ftp 도 안되고..

새벽엔 루트 로그인도 안되더니..

아침에..모두 풀어두고 갔나봐요..ㅜㅜ 나름 ..나쁜의도는 없는건지....ㅜㅜ

암튼 iptables 이란걸 사용해 봐야겠어요.

정말감사합니다.

로그인한 회원만 댓글 등록이 가능합니다.

메뉴
검색
클라우드포털

이런경우가..해킹인지 한번 봐주세요..

공지사항

뉴스광장

작성자 정보

컨텐츠 정보

본문

관련자료

공지사항

뉴스광장