백도어가 검출되었다고 합니다. 처리를 어떻게 ...

일단 root만이 접근 가능한 /dev 디렉토리에 파일이 생성되어있다면 공격자는

root권한을 획득한 상태입니다. 그리고 /dev 디렉토리에 있는 파일들이 다른 서버를 스캔하거나 해킹하기 위한 것으로 보아 해당 서버를 경유지로 하여 다른 서버를 스캔 및 공격하기 위한 용도로 사용중인 것 같습니다.

일단 해당 파일들은 모두 삭제하시고, 다른 디렉토리에 백도어들이 설치되어 있지는 않은지 확인해 보시기 바랍니다. 이때 제일 권장하는 프로그램은 chkrootkit입니다.

http://www.chkrootkit.org/ 에서 해당 파일을 다운로드하여 변조된 파일이나 hidden process등은 없는지 확인해 보시기 바랍니다. 변조된 파일과 백도어에 대해 조처하는 것도 중요하지만 어떤 취약성을 이용하여 일반유저 권한을 획득 후 root 권한을 획득하였는지 확인해 보는 것이 더욱 중요합니다. 이를 위해 nessus와 같은 취약성 점검 프로그램을 이용하시면 도움이 되실 것입니다.

감사합니다.