해킹 공격에 대해 답변드립니다.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

이는, 아래에서도 여러번 답변을 드린 내용인데, 작년말부터 유행하기 시작한 ssh를 통한 brute force 로서 쉬운 암호를 사용하는 계정에 대한 일종의 무작위대입법이라고 할 수 있습니다. 대부분의 유저들이 1234나 1111등 쉬운 암호를 사용한다는 점을 악용하여 무작위로 로그인을 시도하는 것입니다.

따라서

1. john the ripper 이라는 프로그램을 이용하여 쉬운 암호를 사용하는 계정을 찾아 암호를 어렵게 설정 변경하고 --(본서47p에 자세한 안내참조)

2. ssh 설정에서 허용된 유저만 또는 허용된 ip에서만 접근할 수 있도록 보안 설정을 하시기 바랍니다. 또는 port 번호를 22대신 825와 같이 변경하는 것도 무작위 스캔에 대한 대응방법중 하나가 될 수 있습니다.
  (본서 284p-SSH보안-에 자세한 안내 참조)

3. 그러나 가장 좋은 방법은 iptables 방화벽으로 커널 레벨에서 접근 통제를 엄격하게 하는 것입니다. 이러한 경우 일일이 로그를 체크하지 않더라도 안심하실 수 있습니다. 본서를 보시면 iptables 방화벽의 활용방법에 대해 자세하세 설명되어 있습니다.

그리고 일단 백도어 관련 파일들이 qaz라는 계정 권한으로 설정되어 있는 것으로 보아 이 계정으로 로그인하였을 가능성이 높습니다. 만약 root 권한까지 획득하였다면 root 권한으로 백도어를 설치해 두었겠지요..
그러나 현재 사용하시는 커널 버전에서는 root 권한을 쉽게 획득할 수 있으므로 커널을 업그레이드 또는 패치하실 것을 권장합니다.

감사합니다.