급질문 드립니다..뚫린것 같은데요 ㅜ.ㅜ

안녕하십니까? 홍석범입니다.

이는 웹응용프로그램의 취약성을 이용, 해킹을 통해 악성코드를 서버에 업로드,
이후 웹을 통해 irc 실행 프로그램을 실행한 것입니다.    

해당 프로세스를 죽이면 계속 다시 작동하는 이유는 /var/spool/cron에 자동  설정되어 있을 수도 있으니 확인해 보시기 바라며 대부분 제로보드의 취약성을 이용한 공격이 많으므로

php.ini에서 allow_url_fopen = Off 로 변경하시고 제로보드등의 프로그램을 보안패치하시기 바랍니다.

감사합니다.

임경철 님의 글

어떻게 대처를 해야할지 몰라 이렇게 문의드립니다..
지금 현상은 서버에 이상한넘이 자꾸 뜹니다;;
이 서버 아파치는 rpm이라 경로가 다르거든요;;
apache   28029     1  0 14:54 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL                                                  
                                                                                                                                   
                                 ? ssstt

프로세스 따라가보면 엉뚱한 경로에 있는 파일을 실행시키고잇습니다.
bind.tarz,bind.tarz.1,psybnc?? 이런 파일들이 상위폴더에 있구요..
어떻게 이파일이 들어간지도 모르겠구요;;
특이한건 /tmp 에 cmdtemp 라는 파일이 올라옵니다.
또 mysql.txt 라는 파일도 올라오던데 상단에 DNC Bot Created By Doha 라는 글귀가 나옵니다.
아래는 내용중 일부입니다.
#############################################################
my $processo = "/usr/local/apache/bin/httpd -DSSL";
my $spread="http://203.71.212.3/www/modul/echo.txt?";
my $id="http://203.71.212.3/www/modul/load.txt?";
my $server="irc.dal.net";
my $porta="6667";
my $nick="[Naruto]".(int(rand(9999)));
my $canale="#majene";
my $backup="#laso";
###############################

검색해보니 irc관련 이라는데...
이거 혹시 막는 방법 아시는분 안계신가요??
지금 계속 모니터링 하면서 올라오면 죽이고...삭제하고 하고있습니다 ㅜ.ㅜ
미치겠네여.
도움 주실분 찾아요 ㅜ.ㅜ