해킹을 당했습니다.

서버에 6월 10일 부터 이상한 프로세스가 생겼습니다.

나름대로 분석해본 결과 입니다.

어떤 경로를 통해서 들어왔는지 궁금한데..항상 서버에 이상현상과 설치된경로 까지는

찾을수 있지만, 어떤 취약점을 통해 당했는지를 모르겠네요.

[root@ns root]# netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name  
tcp        0      0 0.0.0.0:8085            0.0.0.0:*               LISTEN      29629/CROND        

[root@ns subsys]# find / -name CROND
/var/tmp/.scr/tty/CROND
[root@ns subsys]#

[root@ns subsys]# ps -aux
nobody   29629  0.0  0.0  1460    4 ?        S    Jun10   0:00 CROND

[root@ns tmp]# cd /var/tmp/.scr/
[root@ns .scr]# ls
tty  tty.tar.gz
[root@ns .scr]# cd tty
[root@ns tty]# ls
contty  contty.c  CROND  ttyshd.c
[root@ns tty]#

윈도우의 커맨드 창에서 아래와 같이 접속해보니 shell로 접속이 되네요

다행히 방화벽 설정을 해놔서 접속은 못했을것 같습니다.
# telnet 218.150.xx.xx 8085
Trying 218.150.xx.xx...
Connected to 218.150.xx.xx.
Escape character is '^]'.

sh-2.05b$

더 필요한 정보가 있으면 알려드리겠습니다.

아..그리고.../var/tmp/.scr 을 묶어서 올리려 했는데..여기엔 그런 기능이 없네요..

도움 부탁드립니다.