커널 기반의 루트킷이 설치되었을 가능성이 있습니다.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

일반 root 권한을 빼앗긴 상태에서, 시스템의 백도어 프로세스를 찾는 것이 급선무입니다. 최근에는 LKM(커널 기반의 백도어) 방식을 이용하여 netstat, ps, ls등으로 보이지 않는 hidden file이나 hidden process가 많이 있는데, 이러한 프로세스들은 찾기가 매우 어렵습니다. 따라서 본서 9장에 소개된 "보안 프로그램 활용"을 이용하여 어떤 백도어가 설치되었는지 확인하셔서 원본 파일로 복원하셔야 합니다. 물론 이때 백도어 파일은 바로 삭제하지 마시고 추후 분석을 위해 별도의 디렉토리로 옮겨두시는 것이 좋습니다. 특히 초기에 chkrootkit을 이용하시면 변조된 바이너리와  hidden process를 찾는데,  도움이 되실 것입니다.   

그러나 원본 파일로 복원을 했는데도, 정상적인 서비스가 불가할 경우 현실적으로 재 설치밖에는 대안이 없습니다. 한번 해킹을 당했다면 재설치를 한다 하더라도 조만간 다시 재해킹을 당할 가능성이 매우 높습니다.

따라서 시의적절한 보안패치(업데이트-특히 최근에 공격자가 root 권한을 획득하기 위해서 거의 대부분 커널의 취약성을 이용합니다.) + 각 데몬별 보안설정 + 엄격한 접근통제가 매우 중요합니다. 이 과정이 결코 쉽지는 않지만 서버를 관리하신다면 반드시 필요한 절차이며 "리눅스서버보안관리실무"를 참고하신다면 많은 도움이 되실 것입니다.

감사합니다.