해킹
작성자 정보
- lakshimi 작성
- 작성일
컨텐츠 정보
- 3,618 조회
- 0 추천
- 목록
본문
안녕하세요 일단 회사에서 운용하는 서버가 당하고있는거같습니다.
레드햇8.0이구요. xxx.xxx.xxx.xxx 이서버 aaa가 내부 인트라넷(samba) ip입니다.
chkrootkit을 체크해도 아무이상없습니다.
리눅스는 기본적인 보안은 일일히 찾아다가 적용해놨습니다.
그래서 그런지 암것도 안하고 삽질하다가 나간건지...
tmp 폴더에 bd.perl 와 f3라는 파일이 생성돼있더군요.
지금 한 2번 해킹당했는데 맨첨에는 세그멘테이션오류라서
파일시스템나간줄알고 다시 깔았는데 두번째 해킹당하고 이게
해킹인줄알았습니다-_-...ifconfig에서 스니핑걸려있더군요...
다시깔고 회사에서 잔소리좀먹고...이거원 웹이랑 메일서버라서 업무용때문에
메일안오면 좀 문제가 커지거든요...
얼마전 다시깔고 ftp없애고 ssh는 쓸때에만 서버앉아서 데몬켜놓고 다시 자리와서
하덩가 걍 안켜놓습니다. 보안 적용하라는 내용의 게시물은 죄다 찾아서
실행하고 rpm으로 레뎃취약점 패치해주고... 아직 커널업글은 안했습니다.
업무용이라서 중간에 커널때문에 불상사가 발생하면 아주 짜증나거든요...
근데도 지금 다시 tmp에 이런파일들이 생겼네요...
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1344 76 ? S Jul02 0:04 init
root 2 0.0 0.0 0 0 ? SW Jul02 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW Jul02 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN Jul02 0:00 [ksoftirqd_CPU0]
root 5 0.0 0.0 0 0 ? SW Jul02 0:01 [kswapd]
root 6 0.0 0.0 0 0 ? SW Jul02 0:00 [kscand/DMA]
root 7 0.0 0.0 0 0 ? SW Jul02 2:57 [kscand/Normal]
root 8 0.0 0.0 0 0 ? SW Jul02 0:00 [kscand/HighMem]
root 9 0.0 0.0 0 0 ? SW Jul02 0:00 [bdflush]
root 10 0.0 0.0 0 0 ? SW Jul02 0:00 [kupdated]
root 11 0.0 0.0 0 0 ? SW< Jul02 0:00 [mdrecoveryd]
root 15 0.0 0.0 0 0 ? SW Jul02 0:00 [kjournald]
root 67 0.0 0.0 0 0 ? SW Jul02 0:00 [khubd]
root 195 0.0 0.0 0 0 ? SW Jul02 0:00 [kjournald]
root 196 0.0 0.0 0 0 ? SW Jul02 0:00 [kjournald]
root 197 0.0 0.0 0 0 ? SW Jul02 0:00 [kjournald]
root 198 0.0 0.0 0 0 ? SW Jul02 0:00 [kjournald]
root 199 0.0 0.0 0 0 ? SW Jul02 0:21 [kjournald]
root 478 0.0 0.0 1400 184 ? S Jul02 0:00 syslogd -m 0
root 482 0.0 0.0 1340 40 ? S Jul02 0:00 klogd -x
named 515 0.0 0.2 10736 1420 ? S Jul02 0:09 named -u named
root 546 0.0 0.0 2096 4 ? S Jul02 0:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
root 556 0.0 0.0 1520 112 ? S Jul02 0:00 crond
root 565 0.0 0.0 2200 4 ? S Jul02 0:00 /bin/sh /usr/local/mysql/bin/mysqld_safe --user=root --datadir=/usr/l
root 577 0.0 0.0 1316 4 tty2 S Jul02 0:00 /sbin/mingetty tty2
root 578 0.0 0.0 1316 4 tty3 S Jul02 0:00 /sbin/mingetty tty3
root 579 0.0 0.0 1316 4 tty4 S Jul02 0:00 /sbin/mingetty tty4
root 580 0.0 0.0 1316 4 tty5 S Jul02 0:00 /sbin/mingetty tty5
root 581 0.0 0.0 1316 4 tty6 S Jul02 0:00 /sbin/mingetty tty6
root 582 0.0 0.0 2196 4 ? S Jul02 0:00 /bin/sh /command/svscanboot
root 608 0.0 0.0 1360 84 ? S Jul02 0:00 svscan /service
root 609 0.0 0.0 1304 16 ? S Jul02 0:01 readproctitle service errors: ... 256?tcpserver: status: 0/40?tcpserv
root 612 0.0 0.9 49756 4804 ? S Jul02 0:02 /usr/local/mysql/libexec/mysqld --basedir=/usr/local/mysql --datadir=
root 614 0.0 0.0 1316 56 ? S Jul02 0:00 supervise vpop
vpopmail 615 0.0 0.0 1336 64 ? S Jul02 0:01 tcpserver -vRHl 0 -u 509 -g 504 0 110 /var/qmail/bin/qmail-popup juli
root 716 0.0 0.0 1316 56 ? S Jul02 0:00 supervise qmail-send
root 717 0.0 0.0 1316 56 ? S Jul02 0:00 supervise log
root 718 0.0 0.0 1316 56 ? S Jul02 0:00 supervise qmail-smtpd
root 719 0.0 0.0 1316 60 ? S Jul02 0:00 supervise log
qmails 720 0.0 0.0 1544 252 ? S Jul02 0:31 qmail-send
root 721 0.0 0.0 1336 72 ? S Jul02 0:19 qmail-lspawn ./Maildir/
qmailr 722 0.0 0.0 1336 104 ? S Jul02 0:02 qmail-rspawn
qmailq 723 0.0 0.0 1328 80 ? S Jul02 0:03 qmail-clean
vpopmail 724 0.0 0.0 1340 60 ? S Jul02 0:01 /usr/local/bin/tcpserver -H -R -l 0 -x /etc/tcp.smtp.cdb -u 509 -g 50
qmaill 727 0.0 0.0 1332 4 ? S Jul02 0:00 /usr/local/bin/multilog t /var/log/qmail/smtpd
qmaill 728 0.0 0.0 1340 112 ? S Jul02 0:13 /usr/local/bin/multilog t /var/log/qmail
root 2974 0.0 0.0 7588 104 ? S Jul02 0:00 /usr/local/apache/bin/httpd
nobody 2975 0.0 0.7 9532 3668 ? S Jul02 0:17 /usr/local/apache/bin/httpd
nobody 2976 0.0 0.8 9804 4160 ? S Jul02 0:21 /usr/local/apache/bin/httpd
nobody 2977 0.0 0.7 9568 3800 ? S Jul02 0:16 /usr/local/apache/bin/httpd
nobody 2978 0.0 0.7 9732 3832 ? S Jul02 0:12 /usr/local/apache/bin/httpd
nobody 2979 0.0 0.7 9492 3788 ? S Jul02 0:14 /usr/local/apache/bin/httpd
nobody 2989 0.0 0.7 9488 3796 ? S Jul02 0:18 /usr/local/apache/bin/httpd
nobody 2990 0.0 0.8 9864 4168 ? S Jul02 0:16 /usr/local/apache/bin/httpd
nobody 2991 0.0 0.7 9652 3912 ? S Jul02 0:20 /usr/local/apache/bin/httpd
nobody 2995 0.0 0.7 9500 3820 ? S Jul02 0:20 /usr/local/apache/bin/httpd
nobody 2996 0.0 0.6 9092 3140 ? S Jul02 0:13 /usr/local/apache/bin/httpd
root 8275 0.0 0.1 3280 700 ? S 09:28 0:00 /usr/sbin/sshd
root 8280 0.0 0.0 1316 12 tty1 S 09:28 0:00 /sbin/mingetty tty1
root 14431 0.0 0.3 6812 1952 ? S 09:53 0:02 /usr/sbin/sshd
root 14460 0.0 0.2 5580 1536 pts/0 S 09:53 0:00 -bash
qmailr 26143 0.0 0.0 1476 460 ? S 11:05 0:00 qmail-remote --ip내용삭제^^;;--
qmailr 26202 0.0 0.0 1472 452 ? S 11:05 0:00 qmail-remote --ip내용삭제^^;;--
root 26228 0.0 0.1 2736 768 pts/0 R 11:05 0:00 ps -aux
현재 프로세스였습니다. 아침에와서보니 tmp의 bd.perl 파일이 프로세스에
떠있길래 kill을해서 안보입니다만 첨에는 떠있었습니다.
머 이번에는 ifconfig해도 정상으로 보이네요.../tmp에 실행권한을 파일시스템
쪽에서 아예 막아버렸구요...참 dev쪽 find /dev -type f -exec ls -l {} ; 검색시
/dev/shm/kroot 랑 /dev/shm/f3 가 노바디권한 으로 생겼더군요...
일단 다른데다 카피해놓고 삭제했습니다.
그전엔 proftp 취약점으로 들어와서 확 휩쓸고같거같았는데 이번에는
여의치않았나봅니다. 참 bd.perl 프로그램은 텔넷프로그램이더군요...-_-
저번에는 wget으로 tmp로 파일 다운받아 이것저것 해놓더니
이번에는 아무리 로그를 찾아봐도 아무것도 없습니다.
정말 깨끗하네요...근데 어떻게 tmp로 파일을 생성했을까요...
아파치 로그도 찾아봤지만 워낙많기도하지만 몇번 봤는데 특별한건 없습니다.
bd.perl프로세스가 떠있었는데 그렇다면 터미널이 열려있었는데
아무것도 안했을리가 없을텐데 아니면 못한건가...일단 모든 게시판에서
백도어나 기타 보안관련되서 검사할 항목에서 다찾아봐도
아까 dev쪽이랑 tmp에 파일생성된거 프로세스떠있던거빼면 없네요..
bd.eprl 의 내용의 맨위쪽부분 입니다.
Telnet-like Standard Daemon 0.7
#########################################################
# ******************* CONFIGURATION ******************** #
##########################################################
my $PORT = $ARGV[0] || 2211; # default port is 3847
my $PASS = 'Uliqt.8iQSMwk'; # encripted password
my $SHELL = "/bin/bash"; # shell to be executed
my $HOME = "/tmp"; # your HOME
my $PROC = "inetd"; # name of the process
my $PASS_PROMPT = "Password: "; # password prompt
my $WRONG_PASS = "Wrong password!"; # "wrong password" message
my @STTY = ('sane', 'dec'); # stty arguments
##########################################################
# feel free to change the ENV
#### ENVironment ####
$ENV{HOME} = $HOME;
#$ENV{PS1} = '[u@h W]: '; # the way i like :)
# colorful PS1 is also funny :)
$ENV{PS1} = '[33[3;36m][[33[3;34m][33[1m]u[33[3;36m]@[33[0m][33[3;34m][33[1m]h [33[0m][3
3[1m]W[33[0m][33[3;36m]][33[0m][33[1m:[33[0m] ';
$ENV{MAIL} = '/var/mail/root';
$ENV{PATH} = '/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin';
$ENV{HISTFILE} = '/dev/null';
$ENV{USER} = 'root';
$ENV{LOGNAME} = 'root';
$ENV{LS_OPTIONS} = ' --color=auto -F -b -T 0';
$ENV{LS_COLORS} = 'no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:ex=01;32:*.cmd=01;32:*.exe=0
1;32:*.com=01;32:*.btm=01;32:*.bat=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.bz2=01;31:*.rpm=0
1;31:*.deb=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.jpg=01;35:*.gif=01;35:*.bmp=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:
*.tif=01;35:*.mpg=01;37:*.avi=01;37:*.mov=01;37:';
$ENV{SHELL} = $SHELL;
$ENV{TERM} = 'xterm';
#####################
머 대충 이렇습니다.모든 패스워드는 root건 user건 다 바꾸었구요...특수기호첨가해서-_-
고수분들게 물어봅니다.
이놈이 어떻게 어떤취약점으로 들어왔으며 왜 시스템을 망치지않고 나갓는지...
아니면 혹시 막을려면 어떤조취를 취해야하나요?
왠만한 rpm 으로 취약점 업데이트했지만 커널이 문제인가요-_-;;
아니면 웹페이지상으로 업로드하는데서 취약점이 발생해서 tmp에 파일을 쓸수가있는지?
ftp도 없고 주말에 저짓꺼리한거 같은데 그전에 아이피는 대충 잡아놨구요...
경유했는지는 몰라도 그때는 휴스턴이던데...다른덴가...-_-a
지금은 ip도 아무것도 안남고 자기ip만 삭제하고갔는지...흠...
답답하네요. 조언이나 가르침좀 부탁드립니다.
참 서버에 설치한내용입니다.
apache1.3.19 mysql 4.0.18 php 4.3.7 qmail1.03 ucspi-tcp-0.88 daemontools-0.76 autorespond-2.0.4
vpopmail-5.2.2(설치할때 덮어싀워서 5.4.0일수도있음) 네임서버는8.0기본
데몬은 필요없는건 대부분 죽여놨구요...주말동안 ftp나 ssh는 꺼놨습니다.
파악하시는데 필요한 부분은 말씀해주시면 바로올리겠습니다.
참 로그는 깨끗합니다. apache도 그렇구요...chkrootkit도 실행시 아무이상없습니다.
[root@ns root]# ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:04:76:D9:B9:2F
inet addr:xxx.xxx.xx.xxx Bcast:xxx.xxx.xx.xxx Mask:255.255.255.224
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1012790 errors:0 dropped:0 overruns:0 frame:0
TX packets:3421882 errors:0 dropped:0 overruns:0 carrier:0
collisions:26228 txqueuelen:100
RX bytes:188620472 (179.8 Mb) TX bytes:738447795 (704.2 Mb)
Interrupt:5 Base address:0xb800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:3049 errors:0 dropped:0 overruns:0 frame:0
TX packets:3049 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1130494 (1.0 Mb) TX bytes:1130494 (1.0 Mb)
[root@ns root]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 xxx.xxx.xx.xxx:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 xxx.xxx.xx.xxx:80 209.237.238.175:48965 TIME_WAIT
tcp 0 0 xxx.xxx.xx.xxx:25 210.105.12.22:2722 TIME_WAIT
tcp 0 0 xxx.xxx.xx.xxx:80 211.219.231.181:1385 TIME_WAIT
tcp 0 0 xxx.xxx.xx.xxx:80 211.219.231.181:1386 TIME_WAIT
tcp 0 0 xxx.xxx.xx.xxx:80 211.219.231.181:1388 TIME_WAIT
tcp 0 0 xxx.xxx.xx.xxx:80 211.219.231.181:1389 TIME_WAIT
tcp 0 0 xxx.xxx.xx.xxx:80 211.219.231.181:1390 ESTABLISHED
tcp 0 0 xxx.xxx.xx.xxx:25 222.114.49.60:2035 TIME_WAIT
tcp 0 0 xxx.xxx.xx.xxx:22 aaa.aaa.aa.aaa:1189 ESTABLISHED
tcp 0 0 xxx.xxx.xx.xxx:25 220.126.147.110:4031 TIME_WAIT
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 xxx.xxx.xx.xxx:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:722 0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 1554 /tmp/mysql.sock
unix 6 [ ] DGRAM 918 /dev/log
unix 2 [ ] DGRAM 1478
unix 2 [ ] DGRAM 1452
unix 2 [ ] DGRAM 1171
unix 2 [ ] DGRAM 926
[root@ns /]# lsof | grep LISTEN
named 515 named 10u IPv4 1400 TCP localhost.localdomain:domain (LISTEN)
named 515 named 12u IPv4 1402 TCP ns.xxxxxxxxx.co.kr:domain (LISTEN)
named 515 named 13u IPv4 1412 TCP localhost.localdomain:rndc (LISTEN)
named 516 named 10u IPv4 1400 TCP ns.xxxxxxxxx.co.kr:domain (LISTEN)
named 516 named 12u IPv4 1402 TCP ns.xxxxxxxxx.co.kr:domain (LISTEN)
named 516 named 13u IPv4 1412 TCP localhost.localdomain:rndc (LISTEN)
named 517 named 10u IPv4 1400 TCP localhost.localdomain:domain (LISTEN)
named 517 named 12u IPv4 1402 TCP ns.xxxxxxxxx.co.kr:domain (LISTEN)
named 517 named 13u IPv4 1412 TCP localhost.localdomain:rndc (LISTEN)
named 519 named 10u IPv4 1400 TCP localhost.localdomain:domain (LISTEN)
named 519 named 12u IPv4 1402 TCP ns.xxxxxxxxx.co.kr:domain (LISTEN)
named 519 named 13u IPv4 1412 TCP localhost.localdomain:rndc (LISTEN)
named 520 named 10u IPv4 1400 TCP localhost.localdomain:domain (LISTEN)
named 520 named 12u IPv4 1402 TCP ns.xxxxxxxxx.co.kr:domain (LISTEN)
named 520 named 13u IPv4 1412 TCP localhost.localdomain:rndc (LISTEN)
mysqld 612 root 3u IPv4 1553 TCP *:mysql (LISTEN)
tcpserver 615 vpopmail 3u IPv4 1550 TCP *:pop3 (LISTEN)
mysqld 618 root 3u IPv4 1553 TCP *:mysql (LISTEN)
mysqld 619 root 3u IPv4 1553 TCP *:mysql (LISTEN)
mysqld 620 root 3u IPv4 1553 TCP *:mysql (LISTEN)
mysqld 621 root 3u IPv4 1553 TCP *:mysql (LISTEN)
mysqld 622 root 3u IPv4 1553 TCP *:mysql (LISTEN)
mysqld 623 root 3u IPv4 1553 TCP *:mysql (LISTEN)
mysqld 624 root 3u IPv4 1553 TCP *:mysql (LISTEN)
mysqld 625 root 3u IPv4 1553 TCP *:mysql (LISTEN)
mysqld 626 root 3u IPv4 1553 TCP *:mysql (LISTEN)
tcpserver 724 vpopmail 3u IPv4 2321 TCP *:smtp (LISTEN)
httpd 2974 root 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2975 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2976 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2977 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2978 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2979 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2989 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2990 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2991 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2995 nobody 25u IPv4 8142 TCP *:http (LISTEN)
httpd 2996 nobody 25u IPv4 8142 TCP *:http (LISTEN)
sshd 8275 root 3u IPv4 978897 TCP *:ssh (LISTEN)
그리고 방화벽으로 http,mysql,ssh,pop3,smtp 빼고는 전부 막아버리는
iptable 명령어도 간단히 설명해주시면 감사하겠습니다.
7월7일 아침에보니 또 들어왔더군요...
bd.perl 프로세스만 띄우고 안것도 못했는지 깨끗하네요...
이제 로그 잡아서 추적해서 먼가 조치를 취하려고합니다...-_-;;
관련자료
-
이전
-
다음
