웹서버 해킹문의(Simiens Crew hax0red u nao morremos)

안녕하세요!!

더운데 고생들 많으시죠...

저도 주말에 쉬다가 웹서버가 해킹을 당해서 복구 하기는 했지만 원인을 몰라서

질문 드립니다.

우선 인덱스 파일이 모두

 Simiens Crew hax0red u nao morremos

라는 글로 바뀌었더군요 ^^;

아파치를 스타트 하려고 했더니 이미 80포트를 사용하는 프로세서가 있다고 나와서

kill -9 로 죽지않아서 서버를 reboot 했습니다.

아파치만 다시 설치 했고...

버젼은 httpd-2.0.52 , openssl-0.9.7a-2, openssl-devel-0.9.7a-2 입니다.

그리고  아래는 해킹당직후 80포트를 본것입니다.

사용하고있는 아이피는 *** 로 대체 했습니다.

[root@warezs tmp]# netstat -anp | grep 80
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      1638/r0nin.htm
tcp      420      0 220.73.213.***:80       221.141.135.14:2435     ESTABLISHED -
tcp        0      0 220.73.213.***:22       210.205.87.***:32877    ESTABLISHED 21806/sshd
tcp      434      0 220.73.213.***:80       218.235.86.171:32783    ESTABLISHED -
tcp      352      0 220.73.213.***:80       61.82.229.230:63554     ESTABLISHED -
tcp      195      0 220.73.213.***:80       211.200.241.138:2725    ESTABLISHED -
tcp      410      0 220.73.213.***:80       211.208.10.91:2113      ESTABLISHED -
tcp      330      0 220.73.213.***:80       221.152.55.136:3459     ESTABLISHED -
tcp      470      0 220.73.213.***:80       168.131.40.206:3858     ESTABLISHED -
tcp      279      0 220.73.213.***:80       218.236.19.89:1867      ESTABLISHED -
tcp      357      0 220.73.213.***:80       210.120.84.152:1329     ESTABLISHED -
tcp      425      0 220.73.213.***:80       211.107.80.46:1900      ESTABLISHED -
tcp      334      0 220.73.213.***:80       61.85.20.52:1075        ESTABLISHED -
unix  3      [ ]         STREAM     CONNECTED     31476877 21806/sshd
unix  3      [ ]         STREAM     CONNECTED     31476876 21808/

# pstree 한 결과입니다.

A320RAID40watchd (?? 이게 뭔지?)

init-+-A320RAID40watchd
     |-atd
     |-bdflush
     |-crond
     |-cupsd
     |-gpm
     |-httpd-+-273*[httpd]
     |       `-6*[rotatelogs]
     |-keventd
     |-khubd
     |-6*[kjournald]
     |-klogd
     |-kscand/DMA
     |-kscand/HighMem
     |-kscand/Normal
     |-ksoftirqd_CPU0
     |-ksoftirqd_CPU1
     |-ksoftirqd_CPU2
     |-ksoftirqd_CPU3
     |-kswapd
     |-kupdated
     |-mdrecoveryd
     |-6*[mingetty]
     |-mysqld_safe---mysqld---mysqld---12*[mysqld]
     |-portmap
     |-rpc.statd
     |-scsi_eh_0
     |-scsi_eh_1
     |-2*[sendmail]
     |-sshd---sshd---sshd---bash---su---bash---pstree
     |-syslogd
     |-xfs
     `-xinetd

Slapper 웜 확인은 모두 해봤는데 그런 흔적은 없습니다.

arirang 툴을 이용해서 취약점을 확인해봤는데 이상이 없습니다.

에러로그 에도 제가 보기로는 특별한 것이 보이지 않습니다.

혹시 비슷한 경우를 보신분이나 조언을 해주시면 감사하겠습니다.

지금도 영 찜찜 해서요... 또 그러지 말라는 보장이 없으니...

좋은 하루 되세요..