해킹 관련 도움 부탁드립니다.

안녕하세요..ㅠ.ㅠ

제가 이번에 해킹을 당하게 된것 같아 이렇게

문의드립니다.

다름아니오라

얼마전 위 그림과 같이 홈페이지 index파일이 변조되었습니다.

그래서 장난이겠거니 하고 다시 원상복구 하였는데

KT스팸대응센터에서

현재 제 서버가 피싱사이트의 경유지로 이용되고 있다고

연락이 오더군요..

확인결과

아래 그림과 같이

제서버의 특정 디렉터리에 이상한 php파일들이 있는것을 확인하였습니다.

완전 분노하여

현재 사용중인 테크노트의 취약점을 보완하고

또 몇일지나니

제서버에서 다른서버를 공격하는 트래픽이 엄청나게 나가더군요.

결국은

렌선뽑아 버리고

고민하다가 방금 다시 서버를 켜서

프로세스를 확인해보니

root      8355     3  0 Sep30 ?        00:00:00 [pdflush]
nobody   10136  2410  0 Sep30 ?        00:00:01 /usr/local/apache_2.0.59/bin/httpd -k start
root     10751     3  0 Sep30 ?        00:00:00 [pdflush]
nobody   10756  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10757  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10760  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10761  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10768  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10812 10757  0 Sep30 ?        00:00:00 [sh] <defunct>
nobody   10813     1 24 Sep30 ?        1-09:17:43 perl udp.pl 125.162.49.250 53 999999999999999999999999999999999999999999999999999999999999999999999
nobody   10815     1  0 Sep30 ?        00:00:00 sh -c (sleep 99999999999999999999999999999999999999999999999999999999999999999999999999999;killall -9
nobody   10816 10815  0 Sep30 ?        00:00:00 sleep 99999999999999999999999999999999999999999999999999999999999999999999999999999
nobody   10828 10760  0 Sep30 ?        00:00:00 sh -c perl udp.pl 125.162.49.250 53 9999999999999999999999999999999999999999999999999999999 2>&1
nobody   10829 10828 24 Sep30 ?        1-09:16:16 perl udp.pl 125.162.49.250 53 9999999999999999999999999999999999999999999999999999999
nobody   10831     1  0 Sep30 ?        00:00:00 sh -c (sleep 9999999999999999999999999999999999999999999999999999999;killall -9 udp) &
nobody   10832 10831  0 Sep30 ?        00:00:00 sleep 9999999999999999999999999999999999999999999999999999999
nobody   15116  2410  0 Oct01 ?        00:00:04 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   15767  2410  0 Oct01 ?        00:00:01 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   15890     1  0 Oct01 ?        00:00:09 qmail
nobody   16086  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16087  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16088  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16091  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16094  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16104     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16108     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16116     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16121     1  0 Oct01 ?        00:00:00 httpd -SascSL
nobody   16124     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16129     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16133     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16172     1  0 Oct01 ?        00:00:00 httpd -SascSL
nobody   16176     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16182     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16184     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16186     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16188     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
root     19014  2469  0 11:24 tty1     00:00:00 -bash
root     19046 19014  0 11:24 tty1     00:00:01 jfbterm
root     19055 19046  0 11:24 pts/0    00:00:00 /bin/bash
nobody   19388  2410  0 11:33 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   19391  2410  0 11:33 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   19392  2410  0 11:33 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
root     19393 10166  0 11:33 ?        00:00:00 sshd: root@pts/2
root     19396 19393  0 11:34 pts/2    00:00:00 -bash

위와 같이 좀 요상한것들이 있었습니다.

해당 프로세스는 kill하였지만

해당 문제의 근본적인 해결은 하지 못한듯 합니다.

위에 열거한 문제를 해결하기 위해서 어떻게 하는게 좋을까요..?

리눅스 고수님들의 도움 부탁드립니다...ㅠ.ㅠ

아참 tcpdump를 한결과

엄청나게 많은 ack가 나오던데요..

.kr.ssh: . ack 57108 win 65223
11:59:30.547793 IP imlost.co.kr.ssh > 210.223.219.180.3965: P 57108:57304(196) ack 1 win 32120
11:59:30.558825 IP imlost.co.kr.ssh > 210.223.219.180.3965: P 57304:57420(116) ack 1 win 32120
11:59:30.559121 IP 210.223.219.180.3965 > imlost.co.kr.ssh: . ack 57420 win 64911
11:59:30.569798 IP imlost.co.kr.ssh > 210.223.219.180.3965: P 57420:57616(196) ack 1 win 32120
11:59:30.580832 IP imlost.co.kr.ssh > 210.223.219.180.

위와 같이 말입니다.

소스는 제 서버고 도착은 제가 접속하는 컴터인데

왜이런 트래픽이 엄청나게 나오는걸까요..ㅠ.ㅠ