sshd 가 100% CPU 먹고 또 /dev/linux 에 비빌번호가 그대로 노출되네요

가장 좋은방법은 데이터를 백업을 받고 재설치를 하신후 커널과 openssh를 업그레이드하는 방법이

가장 안전합니다 .

그리고 쉬운 패스워드 역시 변경하셔야 합니다 .

그리고 웹해킹으로 이루저진것이라며 웹어플리케이션의 취약점 역시 수정하셔야 합니다.

/dev/linux는 어떤건지 ...

ssh 보안버그 패치를 하지 않았다면 해킹일수도 있을것 같습니다.

우선 telnet 서버를 오픈해놓으시고 yum remove openssh를 삭제한후

다시 yum install로 설치하는것이 보안상 안전할것 같네요.

기타 백도어 점검 및 파일 무결성등도 점검을 해보시는게 좋습니다.

보안철저~~!!

두분의 답변 감사드립니다.

저도 말씀하신것처럼 openssh를 재설치하는 방법으로 해결했는데 해킹된 루트를모르니 답답할 뿐이네요
보안의 세계는 멀고도 험난하군요 ㅡㅜ

이런 지금 안심하실 단계는 아니라 생각합니다.
어쩌면 지금부터가 더 문제가 될 수 있다 생각하는데요 ....

우선 말씀하신대로 어떤 루트로 들어오게 되었는지 빨리 분석해야할 것이고 ...

할것이 많네요 ....

리눅스 오픈 보안 툴도 돌려보시는 것이 좋을 듯하네요 ...

다음의 목록은 며칠전 최신의 버젼으로 조사해서 제가 운영하는 서버에 적용한 버전입니다.. 참고 하시고요

-rw-r--r-- 1 root root    32864 2009-11-17 09:53 FCheck_2.07.59.tar.gz
-rw-r--r-- 1 root root    38323 2009-11-17 09:53 chkrootkit.tar.gz
-rw-r--r-- 1 root root    13669 2009-11-17 09:53 detection_tool.tar.gz
-rw-r--r-- 1 root root  129849 2009-11-17 09:53 ethtool-6.tar.gz
-rw-r--r-- 1 root root  1252295 2009-11-17 14:06 modsecurity-apache_2.5.9.tar.gz
-rw-r--r-- 1 root root  463361 2009-11-17 09:53 ngrep-1.45.tar.bz2
-rw-r--r-- 1 root root  4955257 2009-11-17 09:53 ntop-3.3.9.tar.gz
-rw-r--r-- 1 root root  275653 2009-11-17 09:53 rkhunter-1.3.4.tar.gz
-rw-r--r-- 1 root root  163112 2009-11-17 09:53 rootcheck-2.0.tar.gz
-rw-r--r-- 1 root root 15236692 2009-11-17 09:53 webmin-1.470-1.noarch.rpm
-rw-r--r-- 1 root root 13760140 2009-11-17 09:53 webmin_1.470_all.deb
-rw-r--r-- 1 root root 14105824 2009-11-17 09:53 webmin_1.490_all.deb

파일 소유권, 변경 시간 , 의심되는 유저, 의심되는 프로세스 등 대처하실 방법이 많을 것 같네요..

일 잘 풀리셨으면 좋겠습니다..ㅜ

drwxr-xr-x 6 root root  4096 2009-11-20 09:30 .svn
-rw-r--r-- 1 root root  446 2009-11-17 09:53 Log_backup.sh
-rw-r--r-- 1 root root  767 2009-11-17 09:53 System_security.sh
-rw-r--r-- 1 root root  533 2009-11-17 09:53 action.sh
-rwxr-xr-x 1 root root  4027 2009-11-20 09:30 apache2_conf_add.sh
-rwxr-xr-x 1 root root  449 2009-11-20 09:30 apache2_conf_backup.sh
-rw-r--r-- 1 root root  1695 2009-11-17 09:53 apache_daemon.sh
-rw-r--r-- 1 root root  2104 2009-11-17 09:53 backup.sh
-rwxr-xr-x 1 root root  795 2009-11-20 09:30 chosun_backup.sh
-rw-r--r-- 1 root root  408 2009-11-17 09:53 daemon_backup.sh
-rw-r--r-- 1 root root  694 2009-11-20 09:30 doxygen_schedule.py
-rw-r--r-- 1 root root 11218 2009-11-17 09:53 iptables.sh
-rw-r--r-- 1 root root  188 2009-11-17 09:53 kernel.sh
-rwxr-xr-x 1 root root  418 2009-11-20 09:30 log_backup.sh
-rw-r--r-- 1 root root  418 2009-11-20 09:30 log_backup2.sh
-rwxr-xr-x 1 root root  9268 2009-11-20 09:30 lucifertear
-rw-r--r-- 1 root root  270 2009-11-20 09:30 lucifertear.c
-rw-r--r-- 1 root root  357 2009-11-17 09:53 network.sh
-rwxr-xr-x 1 root root  755 2009-11-20 09:30 qa_backup.sh
-rwxr-xr-x 1 root root  773 2009-11-20 09:30 rnd3_backup.sh
-rw-r--r-- 1 root root  1628 2009-11-17 09:53 server_status.sh
-rw-r--r-- 1 root root  843 2009-11-17 09:53 suid_sgid.sh
-rw-r--r-- 1 root root  796 2009-11-17 09:53 suid_sgid.sh_original.bak
-rwxr-xr-x 1 root root  3171 2009-11-20 09:30 test.sh
-rwxr-xr-x 1 root root  627 2009-11-20 09:30 test2.sh
-rwxr-xr-x 1 root root  765 2009-11-20 09:30 uxd_backup.sh
===============================================================================