해킹 당한 후 처리를 어떻게...

안녕하십니까?씨디네트웍스 홍석범입니다.

해킹을 당한후 제일먼저 확인해 보아야 할 것은 피해범위 즉 어느 레벨까지 해킹을 당했는지 확인하는 절차입니다. 
root 권한을 빼앗을 수 있는 것은 오직 커널의 취약성을 이용한 것 밖에 없으므로 일단 kernel 버전을 확인하여 최신 버전인지 확인하시고, 아울러 chkrootkit 이나 rkhunter등을 이용하여 root 권한으로 백도어등이 설치되어 있지는 않은지 확인해 보시기 바랍니다.

그렇지 않은 경우라면 단순히 id/pw가 추측이 가능한 취약성을 이용하여 해당 개발자 id로 접속한것 뿐이니 john the ripper를 이용하여 쉬운 암호를 사용하는 계정을 찾아 암호를 변경하시고 tcp wrapper 또는 iptables를 이용하여 접근 통제를 엄격하게 설정하시기 바랍니다. 

1. 저 psybnc 프로세스가 어느 폴더에 위치하는지 확인을 어떻게 해야 할가요?
# ls -al /proc/pid 실행후 exe -> 를 보시면 경로가 확인됩니다.

2. 접속한 개발자 아이디 홈폴더에 다른 파일도 몇개 있던데 뭐하는 프로그램인지... 아는 방법은 없을까요??
==> 일일이 소스를 분석해 보시는 방법밖에는 없습니다. 대부분 간단하므로 어렵지 않을 것입니다.

3.위에 방법 이외에 해커가 다른 짓을 하고 나갔는지 확인 할수 있는 방법은 없나요??
==> 리슨하고 있는 포트나, process 또는 해당 유저의 접속시록과 history등을 확인해 보시는 방법이 있습니다.별도의 추가적인 모니터링시스템을 구축하지 않으셨다면 더 이상은 어려울 것으로 보입니다.

감사합니다.

김성은 님의 글

안녕 하세요..

항상 글 올리고 답변 주시는 분들께 감사 드리며 오늘도 글을 올려 봅니다.

얼마전에 저희 테스트 서버가 해킹을 당했습니다.

last 명령어로

9월10일날 러시아쪽 아이피에서 개발자 아이디로 접속 한게 확인 되었습니다.

ps -ef 명령어로 보니까...

psybnc 프로 세스가 떠있더라구요..

그런데 문제가..이 이후에;; 더 이상 뭘 해야 될지를 모르겠네요..

일단 프로세스는 kill 로 죽여 놓았는데...

질문은

1. 저 psybnc 프로세스가 어느 폴더에 위치하는지 확인을 어떻게 해야 할가요?

2. 접속한 개발자 아이디 홈폴더에 다른 파일도 몇개 있던데 뭐하는

프로그램인지... 아는 방법은 없을까요??

3.위에 방법 이외에 해커가 다른 짓을 하고 나갔는지 확인 할수 있는 방법은 없나요??

답변 부탁 드립니다 ^^