리눅스 분류
특정 아이피가 계속 tcp 포트에 접속되어 있습니다. 해결방법 좀...
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 2,327 조회
- 2 댓글
- 0 추천
- 목록
본문
안녕하세요.. 씨디네트웍스 홍석범입니다..
tcp 0 1 121.150.160.155:47488 194.68.45.50:6667 SYN_SENT 31465/httpd -DSSL
위의 프로세스는 121.150.160.155 서버(해킹당한)에서 194.68.45.50의 6667로 irc 접속 시도한 것입니다.
이때의 프로세스는 마치 httpd인것 처럼 보이지만 이는 위조한 것이고 실제 프로세스명은
ps auxc 를 실행해 보시면 확인 가능합니다.
또는 ls -la /proc/31465/exe 를 보시면 해당 프로세스의 경로를 확인 가능합니다..
위의 경로를 따라 생성되어 있는 파일의 권한을 확인하시고 해당 유저의 history 등을 파악하여 어떠한 경로로 이 시스템에 접속하게되었는지 확인해 보시기 바랍니다.
대부분, 웹해킹이나 ssh/ftp 등의 brute force로 접속한 경우가 많이 있으며 때로는 root 권한까지 획득하는 경우도 있으나 굳이 필요하지 않으면 root 권한까지는 획득하지 않는 것 같습니다..
일단, iptables등을 이용하여 엄격한 접근통제를 설정하시는 것이 보안의 기본입니다.
그럼,.....
tcp 0 1 121.150.160.155:47488 194.68.45.50:6667 SYN_SENT 31465/httpd -DSSL
위의 프로세스는 121.150.160.155 서버(해킹당한)에서 194.68.45.50의 6667로 irc 접속 시도한 것입니다.
이때의 프로세스는 마치 httpd인것 처럼 보이지만 이는 위조한 것이고 실제 프로세스명은
ps auxc 를 실행해 보시면 확인 가능합니다.
또는 ls -la /proc/31465/exe 를 보시면 해당 프로세스의 경로를 확인 가능합니다..
위의 경로를 따라 생성되어 있는 파일의 권한을 확인하시고 해당 유저의 history 등을 파악하여 어떠한 경로로 이 시스템에 접속하게되었는지 확인해 보시기 바랍니다.
대부분, 웹해킹이나 ssh/ftp 등의 brute force로 접속한 경우가 많이 있으며 때로는 root 권한까지 획득하는 경우도 있으나 굳이 필요하지 않으면 root 권한까지는 획득하지 않는 것 같습니다..
일단, iptables등을 이용하여 엄격한 접근통제를 설정하시는 것이 보안의 기본입니다.
그럼,.....
관련자료
-
이전
-
다음
댓글 2
김양현님의 댓글
- 김양현
- 작성일
상세한 답변 감사합니다.
역시 그렇군요.
답변 해주신대로 경로를 확인 해보니 /usr/local/apache/proxy/.psy/psybnc에 링크되어 확인 해보니
아래와 같은 해킹 파일들이 있더군요.
drwxr-xr-x 7 nobody nobody 4096 1월 27 00:24 .
drwxr-xr-x 4 nobody nobody 4096 1월 21 05:12 ..
-rwxr-xr-x 1 nobody nobody 145 2월 5 2006 config
-rw------- 1 nobody nobody 929 5월 7 2002 config.h
-rw-r--r-- 1 nobody nobody 65 12월 30 01:54 cron.d
-rwxr-xr-x 1 nobody nobody 343 2월 5 2006 fuck
drwxr-xr-x 2 nobody nobody 4096 11월 9 2002 help
-rw-r--r-- 1 nobody nobody 77 2월 5 2006 inel
drwxr-xr-x 2 nobody nobody 4096 11월 9 2002 lang
drwxr-xr-x 2 nobody nobody 4096 1월 26 22:58 log
drwxr-xr-x 2 nobody nobody 4096 1월 28 00:30 motd
-rwxr-xr-x 1 nobody nobody 14306 11월 13 2003 proc
-rwxr-xr-x 1 nobody nobody 202544 11월 9 2002 psybnc
-rw-r--r-- 1 nobody nobody 77 11월 9 2002 psybnc.conf
-rw------- 1 nobody nobody 6 1월 22 06:43 psybnc.pid
-rwxr-xr-x 1 nobody nobody 67 2월 5 2006 run
drwxr-xr-x 3 nobody nobody 4096 4월 17 2006 scripts
-rw------- 1 nobody nobody 998 1월 27 00:24 shanty
-rw-r--r-- 1 nobody nobody 29 12월 30 01:54 shanty.dir
-rw------- 1 nobody nobody 999 1월 26 22:58 shanty.old
-rwxr--r-- 1 nobody nobody 21516 9월 26 2002 xh
-rwxr--r-- 1 nobody nobody 224 12월 30 01:54 y2kupdate
해당일자의 로그기록은 볼수 없어서 침입경로는 확인 할수 없고요.
지금은 ftp나 ssh모두 포트를 변경하고 의심되는 모든 아이피는 iptables 로 막고 있습니다.
이럴경우 위의 관련되는 화일
-rwxr-xr-x 1 nobody nobody 202544 11월 9 2002 psybnc
-rw-r--r-- 1 nobody nobody 77 11월 9 2002 psybnc.conf
-rw------- 1 nobody nobody 6 1월 22 06:43 psybnc.pid
모두를 삭제 했는데 이로써 해당 아이피의 조치가 된건지 모르겠군요.
조치를 하고 리부팅을 한후 확인해보니 더이상 해킹아이피의 접속은 없는것 같습니다.
이 조치 말고 또 특별하게 해 주어야 할 조치사항이 있는지 알려 주시면 감사하겠습니다.
또한 위의 파일 외의 다른 파일들도 해킹으로 의심되어 모두 삭제해 버리고 싶은데 삭제해도 별 문제가 없는지 알고 싶습니다.
서버보안에 대해 깊이 알지못한 저로서는 여간 놀래지 않을수 없습니다.
또한 해킹 때문에 정말 머리에 쥐가 날 정도 입니다.
홍석범님의 자상한 답변 감사드리고 위의 추가 질문에도 답해 주시면 감사하겠습니다.
역시 그렇군요.
답변 해주신대로 경로를 확인 해보니 /usr/local/apache/proxy/.psy/psybnc에 링크되어 확인 해보니
아래와 같은 해킹 파일들이 있더군요.
drwxr-xr-x 7 nobody nobody 4096 1월 27 00:24 .
drwxr-xr-x 4 nobody nobody 4096 1월 21 05:12 ..
-rwxr-xr-x 1 nobody nobody 145 2월 5 2006 config
-rw------- 1 nobody nobody 929 5월 7 2002 config.h
-rw-r--r-- 1 nobody nobody 65 12월 30 01:54 cron.d
-rwxr-xr-x 1 nobody nobody 343 2월 5 2006 fuck
drwxr-xr-x 2 nobody nobody 4096 11월 9 2002 help
-rw-r--r-- 1 nobody nobody 77 2월 5 2006 inel
drwxr-xr-x 2 nobody nobody 4096 11월 9 2002 lang
drwxr-xr-x 2 nobody nobody 4096 1월 26 22:58 log
drwxr-xr-x 2 nobody nobody 4096 1월 28 00:30 motd
-rwxr-xr-x 1 nobody nobody 14306 11월 13 2003 proc
-rwxr-xr-x 1 nobody nobody 202544 11월 9 2002 psybnc
-rw-r--r-- 1 nobody nobody 77 11월 9 2002 psybnc.conf
-rw------- 1 nobody nobody 6 1월 22 06:43 psybnc.pid
-rwxr-xr-x 1 nobody nobody 67 2월 5 2006 run
drwxr-xr-x 3 nobody nobody 4096 4월 17 2006 scripts
-rw------- 1 nobody nobody 998 1월 27 00:24 shanty
-rw-r--r-- 1 nobody nobody 29 12월 30 01:54 shanty.dir
-rw------- 1 nobody nobody 999 1월 26 22:58 shanty.old
-rwxr--r-- 1 nobody nobody 21516 9월 26 2002 xh
-rwxr--r-- 1 nobody nobody 224 12월 30 01:54 y2kupdate
해당일자의 로그기록은 볼수 없어서 침입경로는 확인 할수 없고요.
지금은 ftp나 ssh모두 포트를 변경하고 의심되는 모든 아이피는 iptables 로 막고 있습니다.
이럴경우 위의 관련되는 화일
-rwxr-xr-x 1 nobody nobody 202544 11월 9 2002 psybnc
-rw-r--r-- 1 nobody nobody 77 11월 9 2002 psybnc.conf
-rw------- 1 nobody nobody 6 1월 22 06:43 psybnc.pid
모두를 삭제 했는데 이로써 해당 아이피의 조치가 된건지 모르겠군요.
조치를 하고 리부팅을 한후 확인해보니 더이상 해킹아이피의 접속은 없는것 같습니다.
이 조치 말고 또 특별하게 해 주어야 할 조치사항이 있는지 알려 주시면 감사하겠습니다.
또한 위의 파일 외의 다른 파일들도 해킹으로 의심되어 모두 삭제해 버리고 싶은데 삭제해도 별 문제가 없는지 알고 싶습니다.
서버보안에 대해 깊이 알지못한 저로서는 여간 놀래지 않을수 없습니다.
또한 해킹 때문에 정말 머리에 쥐가 날 정도 입니다.
홍석범님의 자상한 답변 감사드리고 위의 추가 질문에도 답해 주시면 감사하겠습니다.
홍석범님의 댓글
- 홍석범
- 작성일
해당 파일의 소유권을 보시면 nobody입니다.
즉, 웹해킹을 통해 백도어가 설치된 것을 알 수 있습니다.
웹로그를 분석하여 어떤 경로로 웹해킹을 하였는지 확인해 보아야 합니다.
가장 많이 활용하는 것은
1. 제로보드나 technote등 공개게시판의 취약성입니다.
2. 취약성을 이용후 실제 백도어 설치는 wget/lynx/GET 등의 다운로드 명령어를 이용하므로
이 파일들의 소유권을 제한하는 것도 임시 방편이 될 수 있습니다.
3. modsecurity를 설치하시는 것이 웹해킹에 대응하는 가장 권장되는 방법입니다.
즉, 웹해킹을 통해 백도어가 설치된 것을 알 수 있습니다.
웹로그를 분석하여 어떤 경로로 웹해킹을 하였는지 확인해 보아야 합니다.
가장 많이 활용하는 것은
1. 제로보드나 technote등 공개게시판의 취약성입니다.
2. 취약성을 이용후 실제 백도어 설치는 wget/lynx/GET 등의 다운로드 명령어를 이용하므로
이 파일들의 소유권을 제한하는 것도 임시 방편이 될 수 있습니다.
3. modsecurity를 설치하시는 것이 웹해킹에 대응하는 가장 권장되는 방법입니다.
