slapper 감염.

더운데 고생많으십니다. ^^

메일이 안나가길래 chkrootkit을 실행해보니 아래와 같이

slapper 웜에 감염되어 있더라구요 그래서 해당

/tmp디렉토리에 가보니 cgi, httpd 이 두 파일이 apache 권한으로

바이너리 파일로 만들어져 있더라구요

근데 아이러니한건 ssh로 root로만 접속가능하게 설정되어 있거든요

telnet은 안쓰고 있고요. 근데 어떻게 저 파일이 생성된 걸 까요?

아무래도 서버가 스팸메일서버로 사용되고 있는 것 같은데요

릴레이 도메인이 굉장히 많은데 릴레이 도메인 중 어떤 도메인이

스팸메일로 사용되고 있는지 알 수 있는 방법이 있나요?

mqueue 디렉토리 용량이 1.6G나 되네요.

답변 꼭 좀 부탁드립니다. ^^;

*** Start scan Slapper ***
[11:33:22]   - File /tmp/.bugtraq... OK. Not found.
[11:33:22]   - File /tmp/.uubugtraq... OK. Not found.
[11:33:22]   - File /tmp/.bugtraq.c... OK. Not found.
[11:33:22]   - File /tmp/httpd... WARNING! Exists.
[11:33:22]   - File /tmp/.unlock... OK. Not found.
[11:33:22]   - File /tmp/update... OK. Not found.
[11:33:22]   - File /tmp/.cinik... OK. Not found.