해킹 질문입니다. 무언가 install 했는데 어떤건지.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

이미 root 권한을 획득한 것으로 보이는데, kernel의 취약성을 이용하였을 것입니다. 따라서 최소한 2.4.30 이상 버전으로 업그레이드하셔야 합니다.

그리고, 설치된 rootkit은 전형적인 커널기반의 백도어로 예상되며 특히 스니핑 관련 백도어도 설치된 것으로 보입니다. 따라서 다음과 같이 조처하시기 바랍니다.

 1. chkrootkit, rkhunter, rootcheck를 이용하여 변조된 바이너리를 찾아 깨끗한 파일로 교체하시기 바랍니다. 이 프로그램의 이용방법에 대해서는 본서의 9장 보안프로그램활용에 자세히 설명되어 있습니다.

2.스니핑이 작동하였으므로 유출된 암호로 로그인할 수 있습니다. 따라서 유출된 암호를 변경하시기 바랍니다.

3. iptables 방화벽을 이용하여 접근 통제를 하여 허용된 IP에서만 접근 가능하도록 설정하십시오. iptables 방화벽의 사용방법은 7장에 자세하게 설명되어 있습니다.

4. kernel의 취약성을 패치하십시오. 아울러 원격에서 어떻게 서버에 로그인하게 되었는지(즉 일반유저를 획득하겓 되었는지) 확인하여 조처하십시오. 이에 대해서는 좌측의 공개문서에서 /tmp 디렉토리보안설정을 보시면 도움이 되실 것입니다.

감사합니다.