/bin 디렉토리의 실행파일이 자꾸 바뀝니다.

안녕하십니까? 오늘과내일의 홍석범입니다.

실행파일들의 마지막 업데이트 날짜가 계속적으로 변경된다면 RST.b 바이러스에 감염되었을 가능성이 높습니다. 이에 대해서는 서적 541페이지를 참고하시기 바랍니다.

그리고, chkrootkit , rkhunter 등으로 검색하여 변조여부를 체크해 보시기 바랍니다. 제가 보았을 때는 root 레벨까지 해킹을 당하고 루트킷이 설치되었을 것으로 판단됩니다. 혹 루트킷이 검색되지 않을 수도 있으니 이에 대해서는 suckit 루트킷에 대한 문서(http://tt.co.kr/~antihong/documents/suckit_rootkit.pdf) 를 참고하시기 바랍니다.  

참고로,  /tmp/ssh-XXcDjppZ/agent.6858 는 해킹과는무관한 정상파일입니다.

감사합니다.

김석주 님의 글

안녕하세요.
질문 하나 드립니다.
원격으로 운영을 하는 서버가 있습니다.

OS: Redhat 9.0 , PHP 4.3.10, Apache 2.0.52, Mysql 4.1.7

입니다.

Tcp Wrapper를 설정하지 않고 어디서나 접속할 수 있게 해두었습니다.
그런데, 4일전 갑자기 몇몇 명령어를 실행하면 세그먼트 오류가 나면서
쉘에서도 튕겨납니다. (예:  ps ax|grep xxx , |more 등등)

그리고, /bin 디렉토리의 명령어 파일들이 일정 시간으로 바뀝니다.
파일명은 아래와 같습니다.

-rwxr-xr-x    1 root     root       497064  7월 23 17:02 ash.static
-rwxr-xr-x    1 root     root        18460  7월 23 04:05 cat*
-rwxr-xr-x    1 root     root        22172  7월 23 17:02 chgrp*
-rwxr-xr-x    1 root     root       497064  7월 23 17:02 ash.static
-rwxr-xr-x    1 root     root        56052  7월 23 17:02 cpio*
-rwxr-xr-x    1 root     root        47132  7월 23 17:02 ed*
-rwxr-xr-x    1 root     root        79764  7월 23 17:02 grep*
-rwxr-xr-x    1 root     root        13188  7월 23 17:02 hostname*
-rwsr-xr-x    1 root     root        72604  7월 23 17:02 mount*
-rwxr-xr-x    1 root     root         8220  7월 23 17:02 mktemp*
-rwxr-xr-x    1 root     root       298428  7월 23 17:02 pgawk*
-rwsr-xr-x    1 root     root        32724  7월 23 17:02 ping*
-rwxr-xr-x    1 root     root        21624  7월 23 17:02 setserial*
-rwsr-xr-x    1 root     root        34912  7월 23 17:02 umount*
-rwxr-xr-x    1 root     root        89336  7월 23 17:21 netstat

오늘 아침(7/24) 또 파일이 업데이트 되었습니다.

같은 패키지 파일을 덮어쓰려고도 했습니다만, 자꾸 업데이트가 되니 어쩔도리가 없더군요.
netstat 명령어로 혹 서비스가 아닌 다른 포트가 있는지도 확인해 봤으나 기본포트만
있고 다른 포트는 없었습니다.

이럴 경우에 어떻게 대처해야 할지 좀 막막합니다.
저랑 비슷한 경험이나 대처방법에 대해 도움좀 주셨으면 합니다.
부탁드립니다.