침해신고를 받았습니다.

안녕하십니까? 홍석범입니다.

udp flooding 은 root 권한을 획득하지 않고도 일반유저 권한으로도 쉽게 공격할 수 있습니다.

그리고, 쉬운 root 암호를 사용하지 않는한 centos 4.4 라면 root 권한을 빼앗길 이유가 없습니다. 따라서, 다음의 순서로 확인해 주시기 바랍니다.

1. last 를 실행, 해외등 비정상 접속이 있지는 않은지 확인

2. tcpdump udp 를 실행, 현재도 udp flooding 공격이 진행중인지 확인

3. netstat -lnp  및 ps aux 를 실행하여 공격 관련 비정상 프로세스가 없는지 확인 
  
4. iptables를 이용, 외부에서의 비정상 접속을 차단, 
  


감사합니다.

김범석 님의 글

안녕하세요

서버 보안과 관련되서 문의 드리고자 글을 남겨봅니다.

현재 저희 회사내에서 테스트용으로 쓰고 있는 서버가 하나 있습니다.

OS는 Cent_Os 4.4 고, 오라클을 설치하여 테스트용 DB로 사용하고 있습니다.

오늘 메일로 침해신고라고 연락이 하나 왔는데

귀하의 기관 네트워크에서 비정상적인 Network Activity가 탐지되었습니다.

- Intrusion Detection System

탐지일시 : <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2007.12.0107:17 ~ 12:34
탐지유형 : udp flooding
탐지건수 : 262건
P주소 : 테스트서버주소(kinx)
피해자IP주소 : 피해서버주소

피해 포트 : tcp 21

이런 내용의 메일이 왔습니다. 서버 담당자가 따로 없어서 어떻게 조치를 취해야 될지

몰라서 여기 저기 알아보니 우선 원격접속을 차단하고 백도어 검색등을 해보라고 해서

rootkit 이라는 프로그램을 받아서 실행 시켜보니

[17:10:25] Performing file properties checks
[17:10:25] Info: Starting test name 'properties'
[17:10:25] Warning: Checking for prerequisites               [ Warning ]
[17:10:26]          The file of stored file properties (rkhunter.dat) does not exist, and so must be created. To do this type in 'rkhunter --propupd'.
[17:10:26]
[17:10:26] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
           is used, all the files on their system are known to be genuine, and installed from a
           reliable source. The rkhunter '--check' option will compare the current file properties
           against previously stored values, and report if any values differ. However, rkhunter
           cannot determine what has caused the change, that is for the user to do.

[17:10:28] /usr/bin/GET                                      [ Warning ]
[17:10:28] Warning: The command '/usr/bin/GET' has been replaced by a script: /usr/bin/GET: perl script text executable
[17:10:28] /usr/bin/groups                                   [ Warning ]
[17:10:28] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable

[17:10:29] /usr/bin/ldd                                      [ Warning ]
[17:10:29] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne shell script text executable

[17:10:29] /usr/bin/ldd                                      [ Warning ]
[17:10:29] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne shell script text executable

[17:10:31] /sbin/ifdown                                      [ Warning ]
[17:10:31] Warning: The command '/sbin/ifdown' has been replaced by a script: /sbin/ifdown: Bourne-Again shell script text executable
[17:10:31] /sbin/ifup                                        [ Warning ]
[17:10:31] Warning: The command '/sbin/ifup' has been replaced by a script: /sbin/ifup: Bourne-Again shell script text executable

[17:13:06]   Checking if SSH root access is allowed          [ Warning ]
[17:13:06] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
           The default value may be 'yes', to allow root access.
[17:13:06]   Checking if SSH protocol v1 is allowed          [ Warning ]
[17:13:06] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol v1.

[17:13:10]   Checking for hidden files and directories       [ Warning ]
[17:13:10] Warning: Hidden file found: /usr/share/man/man1/..1.gz: gzip compressed data, from Unix, max compression
[17:13:14]
[17:13:14] Checking application versions...
[17:13:14] Info: Starting test name 'apps'
[17:13:14] Info: Application 'exim' not found.
[17:13:14]   Checking version of GnuPG                       [ Warning ]
[17:13:14] Warning: Application 'gpg', version '1.2.6', is out of date, and possibly a security risk.
[17:13:14] Info: Application 'httpd' not found.
[17:13:14] Info: Application 'named' not found.
[17:13:15]   Checking version of OpenSSL                     [ Warning ]
[17:13:15] Warning: Application 'openssl', version '0.9.7a', is out of date, and possibly a security risk.

[17:13:15] File properties checks...
[17:13:15] Required commands check failed
[17:13:15] Files checked: 129
[17:13:15] Suspect files: 6
[17:13:15]
[17:13:15] Rootkit checks...
[17:13:15] Rootkits checked : 114
[17:13:15] Possible rootkits: 0
[17:13:15]
[17:13:15] Applications checks...
[17:13:15] Applications checked: 4
[17:13:15] Suspect applications: 2
[17:13:15]
[17:13:15] The system checks took: 2 minutes and 53 seconds

(warning 화면만 모아서 보여드립니다.)

이런 결과가 나왔는데 봐도 무슨 이상이 있는건지 알 수 가 없어서 좀 여쭤보고자 글을 남겨봅니다.

그리고 원격접속을 막으라는 것은 무슨 말인가요...ㅜ.ㅜ