또 해킹 당했습니다..아래 글 남겼던 적이 있는데 이번에 또 이상한게 해킹 당했나 봅니다

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

올려주신 코드는 전형적인 백도어 프로그램으로서 웹해킹등을 통해 nobody 권한을 획득후 특정 포트(58258)를 리슨하는 프로그램입니다. 파일의 소유권이 nobody라면 웹해킹을 통한 것이므로 웹응용프로그램의 취약성은 없는지 다시한번 확인해 보시기 바랍니다. 또는 해당 파일의 생성날짜를 보시고 해당 시간대 웹로그를 살펴보셔도 도움이 되실 것입니다. 취약성 여부는 nessus를 이용하시면 되는데, 본서의 9장에 자세히 설명되어 있습니다.

일단 이 자체로는 root 권한까지 빼앗겼다고 추측할 수는 없으므로.. 일단 다음과 같은 조처를 취하십시오..

1. /tmp에 대한 보안
  -- 일부 script kid의 공격을 차단할 수 있습니다. 자세한 내용은 http://www.superuser.co.kr/linuxsecurityadmin/ 에서 좌측의 공개문서를 참고하세요..

2. 방화벽 설치
  -- 방화벽을 설치하면 위와 같이 특정 포트를 리슨해도 접속할 수 없습니다.

3. kernel 업그레이드
  -- 현재 커널은 언제든 root 권한을 빼앗길 수 있습니다.. 따라서 2.4.30 이상 버전으로 커널 업그레이드를 하시기 바랍니다.

4. 웹해킹 여부 확인
 -- 앞에서 언급한 바와 같이 취약성 여부를 확인해 보시거나 본서의 웹서버 보안에서 자세히 설명하고 있는 일종의 웹방화벽인 modsecurity를 이용하시면 웹 해킹에 대응할 수 있습니다. 

감사합니다.