해킹을 당했습니다.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

올려주신 정보는 전형적인 웹해킹 공격시도를 통해 웹을 통해 nobody 권한을 획득후 /var/rmp에 백도어를 업로드하여 실행한 경우입니다. 현재 백도어가 nobody 권한으로 실행되었으므로 웹응용 프로그램의 취약성을 이용한 사례입니다.

현재 서버에 설치되어 있는 응용프로그램을 체크하여 취약성은 없는지 확인해 보시기 바랍니다. nikto 또는 nessus를 사용하시면 도움을 받으실 수 있습니다. 다행히 방화벽이 설치되어 있어 백도어 포트로 직접 접근은 못하였다 하더라도 웹서버 보안의 마지각 부분에서 설명드린 바와 같이 최근에는 방화벽을 우회하는 reverse telnet등을 이용하는 사례로 자주 발견되고 있습니다. 따라서 방화벽을 엄격하게 설정하시는 것이 필요하겠습니다. 아울러, /tmp 와 /var/tmp, /dev/shm 디렉토리에 대해서도 정기적인 모니터링이 필요합니다. 

참고가 되시기를 바랍니다.

감사합니다.