도와주세요

안녕하십니까? 오늘과내일(http://tt.co.kr/)의 홍석범입니다.

현재 서버에서 웹해킹을 당한 상태입니다.

nobody   22545     1  0 10:24 ?        00:00:00 ./r0nin
nobody   23818 22545  0 12:02 ?        00:00:00 ./r0nin
nobody   23819 23818  0 12:02 ttyp2    00:00:00 sh -i

위의 프로세스는 웹 응용 프로그램의 취약성을 통해  nobody 권한으로 r0nin 이라는 백도어 프로세스를 실행한 상태이며 외부에서 id/pw 인증 없이 바로 로그인 가능한 쉘백도어 프로그램이 실행중인 상태이므로 본서 p58에서 설명한대로 백도어 파일의 위치를 확인하여 삭제하시기 바랍니다.

# ls -la /proc/22545/ 로 확인하시면 됩니다.

그리고, sendmail등 메일 서비스를 제공하지 않는다면 관련 프로그램 자체를 삭제하시거나 퍼미션을 차단하시기 바랍니다. 또는 iptables 방화벽을 이용하여 제어하셔도 됩니다.

감사합니다.