질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

해킹된 서버의 확산 감염인가요?

작성자 정보

  • 충전소 작성
  • 작성일

컨텐츠 정보

본문

지방에서 자체 서버를 관리하는 서버 관리자입니다..

현재 운영 서버가 해킹 침입을 한 상황에서 벌어지는 사항을 좀 확인하려 합니다.

운영 서버랑 미러링을 통한 백업 서버, 그리고 훗날 메일서버로 이용할려고 설치했던 데모서버가 있습니다.

모두 이곳 수퍼유저코리아에서 받은 레드햇 9.0 커널 2.4로 설치되어 있는데,

로그 분석 결과, 얼마전 서킷이란 해킹툴에 의해 운영 서버가 해킹이 되었습니다.

해킹 흔적은 루티킷으로 확인해본 결과  bindshell 이 감염되었으며,

피해 사례는 운영중인 사이트 중 감염된 시기에 오픈한 한 사이트의 게시물이 임의로 삭제되는것입니다.

다른 피해 사례는 없습니다.

그래서 제가 데모서버에 일단 테스트 작업이라도 할려고 기존의 레드햇9.0을 재 설치했는데,

설치하자 마자 확인해보니, 아래와 같은 경고문이 나오며, 외부에서 SSH, FTP 등 접근이 되질 않습니다.

커널 업그레이드 도 경험이 없지만 한번 해서 올리고, 그후 데모서버에서 기존 운영서버 데이타 백업 후 정상화 되면 서버를 교환할려고 계획을 잡았는데, 어떻게 해야 할련지 모르겠습니다..

국내 생산되는 한소프트 리눅스 2005등의 제품을 구매할까 싶기도 한데..

일단 재설치하자마자 나타나는 아래 경고문을 보고 원인을 아시는 고수님들은 답변 좀 꼭 부탁드립니다..

"

WARNING : REMOTE HOST IDENTIFICATION HAS CHANGED

someone could b eaversdropping on you right now(man-in-the-middle attack)!

It is also possible that the RSA host key has just been changed.

The fingerprint for the RSA key seat by the remote key is ~~~~~

 

Add correct host key in /root/.ssh/known_host to get rid of the message.

Offending key in /root/.sch/known_host~~

RSA host key for ~~ has changed on you have requested stick chekly..

"

식의 경고문이 나옵니다.

기존의 해킹된 서버와 무슨 연관이 있어서 이렇게 문제가 발생된것인가요?

경험 많은 고수님들의 답변 꼭 부탁드립니다.

 

 

 

관련자료

댓글 0
등록된 댓글이 없습니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,376 명
  • 현재 강좌수 :  37,051 개
  • 현재 접속자 :  291 명