해킹 관련 도움 부탁드립니다.

안녕하십니까?씨디네트웍스 홍석범입니다.

일단 홈페이지에 악성 파일들의 위치 및 파일 소유권등을 확인해 보시기 바랍니다.
nobody권한으로 생성되어 있다면 웹해킹을 통해 생성한 것이며, 계정권한으로 생성되었다면 ftp나 ssh등 쉬운 암호를 사용하여 권한을 빼앗긴 것이며 만약  root 권한으로 생성되어 있거나 chkrootkit 등으로 확인시 백도어가 검출되었다면 root 권한까지 빼앗긴 것입니다. (최근의 root 권한은 100% 커널의 취약성을 이용한 경우입니다.)

일단, 피해범위가 일반유저인지 nobody인지 아니면 root 인지를 확인하는 것이 급선무입니다.

일반유저 : ssh/ftp/telnet 을 통해 무작위대입법을 통해 접속, 암호 변경 및 tcp wrapper 설정
nobody : 제로보드등 웹해킹을 통한 것임. 패치 및 modsecurity 설치 
root : kernel 의 취약성을 이용한 것임, 최신 버전으로 kernel update 후 시스템 재부팅

그리고,  tcpdump시 보이는 것은 현재 ssh로 접속하여 tcpdump를 실행하여 보이는 것이므로 지극히 정상적인 데이터이며 따라서 tcpdump not port 22 로 확인하셔야 합니다.

감사합니다.   

박종혁 님의 글

안녕하세요..ㅠ.ㅠ

제가 이번에 해킹을 당하게 된것 같아 이렇게

문의드립니다.

다름아니오라

얼마전 위 그림과 같이 홈페이지 index파일이 변조되었습니다.

그래서 장난이겠거니 하고 다시 원상복구 하였는데

KT스팸대응센터에서

현재 제 서버가 피싱사이트의 경유지로 이용되고 있다고

연락이 오더군요..

확인결과

아래 그림과 같이

제서버의 특정 디렉터리에 이상한 php파일들이 있는것을 확인하였습니다.

완전 분노하여

현재 사용중인 테크노트의 취약점을 보완하고

또 몇일지나니

제서버에서 다른서버를 공격하는 트래픽이 엄청나게 나가더군요.

결국은

렌선뽑아 버리고

고민하다가 방금 다시 서버를 켜서

프로세스를 확인해보니

root      8355     3  0 Sep30 ?        00:00:00 [pdflush]
nobody   10136  2410  0 Sep30 ?        00:00:01 /usr/local/apache_2.0.59/bin/httpd -k start
root     10751     3  0 Sep30 ?        00:00:00 [pdflush]
nobody   10756  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10757  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10760  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10761  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10768  2410  0 Sep30 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   10812 10757  0 Sep30 ?        00:00:00 [sh]
nobody   10813     1 24 Sep30 ?        1-09:17:43 perl udp.pl 125.162.49.250 53 999999999999999999999999999999999999999999999999999999999999999999999
nobody   10815     1  0 Sep30 ?        00:00:00 sh -c (sleep 99999999999999999999999999999999999999999999999999999999999999999999999999999;killall -9
nobody   10816 10815  0 Sep30 ?        00:00:00 sleep 99999999999999999999999999999999999999999999999999999999999999999999999999999
nobody   10828 10760  0 Sep30 ?        00:00:00 sh -c perl udp.pl 125.162.49.250 53 9999999999999999999999999999999999999999999999999999999 2>&1
nobody   10829 10828 24 Sep30 ?        1-09:16:16 perl udp.pl 125.162.49.250 53 9999999999999999999999999999999999999999999999999999999
nobody   10831     1  0 Sep30 ?        00:00:00 sh -c (sleep 9999999999999999999999999999999999999999999999999999999;killall -9 udp) &
nobody   10832 10831  0 Sep30 ?        00:00:00 sleep 9999999999999999999999999999999999999999999999999999999
nobody   15116  2410  0 Oct01 ?        00:00:04 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   15767  2410  0 Oct01 ?        00:00:01 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   15890     1  0 Oct01 ?        00:00:09 qmail
nobody   16086  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16087  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16088  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16091  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16094  2410  0 Oct01 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   16104     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16108     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16116     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16121     1  0 Oct01 ?        00:00:00 httpd -SascSL
nobody   16124     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16129     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16133     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16172     1  0 Oct01 ?        00:00:00 httpd -SascSL
nobody   16176     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16182     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16184     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16186     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
nobody   16188     1  0 Oct01 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
root     19014  2469  0 11:24 tty1     00:00:00 -bash
root     19046 19014  0 11:24 tty1     00:00:01 jfbterm
root     19055 19046  0 11:24 pts/0    00:00:00 /bin/bash
nobody   19388  2410  0 11:33 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   19391  2410  0 11:33 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
nobody   19392  2410  0 11:33 ?        00:00:00 /usr/local/apache_2.0.59/bin/httpd -k start
root     19393 10166  0 11:33 ?        00:00:00 sshd: root@pts/2
root     19396 19393  0 11:34 pts/2    00:00:00 -bash

위와 같이 좀 요상한것들이 있었습니다.

해당 프로세스는 kill하였지만

해당 문제의 근본적인 해결은 하지 못한듯 합니다.

위에 열거한 문제를 해결하기 위해서 어떻게 하는게 좋을까요..?

리눅스 고수님들의 도움 부탁드립니다...ㅠ.ㅠ

아참 tcpdump를 한결과

엄청나게 많은 ack가 나오던데요..

.kr.ssh: . ack 57108 win 65223
11:59:30.547793 IP imlost.co.kr.ssh > 210.223.219.180.3965: P 57108:57304(196) ack 1 win 32120
11:59:30.558825 IP imlost.co.kr.ssh > 210.223.219.180.3965: P 57304:57420(116) ack 1 win 32120
11:59:30.559121 IP 210.223.219.180.3965 > imlost.co.kr.ssh: . ack 57420 win 64911
11:59:30.569798 IP imlost.co.kr.ssh > 210.223.219.180.3965: P 57420:57616(196) ack 1 win 32120
11:59:30.580832 IP imlost.co.kr.ssh > 210.223.219.180.

위와 같이 말입니다.

소스는 제 서버고 도착은 제가 접속하는 컴터인데

왜이런 트래픽이 엄청나게 나오는걸까요..ㅠ.ㅠ