해킹을 당한 것 같습니다.

임철진 님의 글

---

말씀하신 것처럼 해킹을 당한게 맞습니다.

특정시간(22시 ~ 04시)이 되면 a서버에서 트래픽이 제한선(100mb)까지 올라가서 b서버에 영향을 미쳐서 정상적으로 동영상 서비스을 제공할 수 없네요.

1. 특정시간이 되면 트래픽이 치솟는다는 것은 cron 을 통해 동작을 한다는 것으로 가정하고 /etc/crontap 파일과 /etc/cron.hourly cron.daily 등의 디렉토리에 공격자의 스크립트가 존재할 수 있으므로 조사를 해보시구요.

2. 트래픽의 원인은 대량 메일, 네트워크 스캔, DoS공격 등의 여러가지 경우 가 있을 수 있겠네요. 그 시간에 다른 호스트에서 a서버로 nmap 등의 스캐닝 도구로 스캔을 해서 어떤 포트가 열리는지, 정상 시간대에도 스캔해서 결과를 비교를 해보세요.

chkrootkit을 실행하면 netstat infected 라는 메세지가 나오고 조금 더 진행하다가 searching snife하면서 서버 전체가 먹통이 되네요.

3. netstat이 변조되었다는 메시지가 나온다는 것은 이미 공격자가 루트킷을 설치했다는 의미입니다. 즉 공격자가 설치한 netstat을 실행하면 공격자가 숨기고자 하는 네트워크 연결 정보는 보이지 않게 됩니다. ps, ls 명령어의 경우도 마찬가지 입니다.
lsof 라는 도구를 설치해서 조사를 해보세요. lsof 툴의 사용에 대한 내용은 다음 문서를 참조하시구요. 인터넷 검색을 통해서도 얼마든지 찾으실 수 있습니다. 여러가지로 유용한 도구이므로 알아두시면 도움이 많이 되실겁니다.  

http://www.securitymap.net/sdm/docs/ids/Scene-of-the-Crime.pdf
http://www.securitymap.net/sdm/docs/ids/detecting-LKM.doc

위 문서들은 오래된 문서들이긴 하지만 도움이 되실겁니다.

4. chkrootkit으로 검사를 하는데 자꾸 시스템이 다운 되신다면 rkhunter(rootkit hunter)라는 도구로 다시 한 번 검사를 해 보시길 권장합니다.

 

재부팅하구 다시 chkrootkit 실행하면 역시나 똑같구요.

chrootkit를 실행하기 전에 /tmp 파일에 이상한 메일링리스트하구 그걸 돌리는 듯한 php, perl 스크립트가 있어서 걍 삭제 했었습니다. 아래는 mrtg 화면과 해당 시간대의 로그 파일입니다. 제가 어떻게 대처해야 하는지 조언 부탁드립니다.

[mrtg]
a 서버
b 서버
[ log file ]

Nov 20 04:02:01 rs1 syslogd 1.4.1: restart.

Nov 20 04:02:05 rs1 proftpd[615]: rs1.rootshell.co.kr - received SIGHUP -- master server rehashing configuration file

Nov 20 07:00:00 rs1 su(pam_unix)[5308]: session opened for user root by (uid=0)

Nov 20 07:00:02 rs1 su(pam_unix)[5308]: session closed for user root

Nov 20 11:31:38 rs1 xfs[22552]: fatal: Read error from remote host: Connection timed out

Nov 20 20:53:19 rs1 xfs[572]: log: Connection from 64.34.161.110 port 4691

Nov 20 20:53:29 rs1 xfs[572]: log: Address 64.34.161.110 maps to www.webnetsecure.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!

Nov 20 20:53:35 rs1 xfs[572]: log: Password authentication for root accepted.

Nov 20 21:03:18 rs1 xfs[222]: log: Generating new 768 bit RSA key.

Nov 20 21:03:18 rs1 xfs[222]: log: RSA key generation complete.

Nov 20 22:39:06 rs1 xfs[572]: fatal: Local: Command terminated on signal 9.

Nov 20 22:48:24 rs1 modprobe: modprobe: Can't locate module binfmt-0050

Nov 20 22:48:24 rs1 modprobe: modprobe: Can't locate module binfmt-0050

Nov 21 01:56:40 rs1 xfs[13820]: log: Connection from 86.126.52.47 port 1500

Nov 21 01:56:51 rs1 xfs[13820]: log: Could not reverse map address 86.126.52.47.

Nov 21 01:56:58 rs1 xfs[13820]: log: Password authentication for root accepted.

Nov 21 02:03:18 rs1 xfs[222]: log: Generating new 768 bit RSA key.

Nov 21 02:03:18 rs1 xfs[222]: log: RSA key generation complete.

---

도움이 되셨는지 모르겠네요.
가장 중요한 것은 공격에 대한 대응이 아니라
같은 형태의 공격에 다시 당하지 않는 것입니다.
운영에 꼭 필요한 서비스만 가동하시구요.
가동하는 서비스 데몬에 대한 패치는 필수 입니다.