공지사항 수퍼유저코리아 공지사항

글쓴이: 관리자 Slapper Worm 제거작업 조회수:4859


[긴급공지]  Slapper Worm 관련 제거작업 공지

안녕하세요.  수퍼유저코리아 입니다.

아직도 국내에는 Slapper Worm이 활기를 치고 있나 봅니다.

몇시간전에 국내의 모 업체에서 긴급한 작업의뢰를 받고서 확인하였더니 전형적인 Slapper Worm이 감염된 상태였습니다 .

감염인지상태의  증상은 아파치의 응답속도가 급격히 떨어지고, 443번 포트를 Slapper Worm에서 사용하고 있는 관계로 아파치재시작이 안되는 상태였습니다. 따라서 웹서비스가 전면 중단된 상태였습니다.

일전에 공지해 드렸던 Slapper Worm관련 내용을 다시한번 확인해 보시기 바랍니다.

관련공지1 :
Slapper웜 변종 추가 공지--변종확인법

관련공지2 : OpenSSL/Apache Slapper Worm변종

관련공지3 : [긴급공지]Linux Slapper Worm감염점검법

관련공지4 : [긴급공지]Slapper. Worm 치유,대처,사후대책


위의 공지 4가지는 일전에 공지했던 내용이구요.
아래는 오늘 Slapper Worm 제거했던 작업내용을 간추린 것입니다.  참고하시기 바랍니다.



###################        slapper worm  제거작업    ##########################

참고 :  IP, ID, hostname등 보안관련된 텍스트들은 모두 변경되었습니다.  또한 자세한 설명보다 간단한 작업목적들만 적었습니다.   참고만 하시기 바랍니다.

[root@hostname homepagee]#
[root@hostname homepagee]#

아파치 에러로그 파일에 443번 포트로 인한 에러상황 확인

[root@hostname homepagee]# cd /var/log/httpd/
[root@hostname httpd]# tail -f error_log
[Sat Nov  2 00:05:04 2002] [crit] (98)Address already in use: make_sock: could not bind to port 443
[Sat Nov  2 00:07:28 2002] [crit] (98)Address already in use: make_sock: could not bind to port 443
[Sat Nov  2 00:08:02 2002] [crit] (98)Address already in use: make_sock: could not bind to port 443
[Sat Nov  2 00:08:05 2002] [crit] (98)Address already in use: make_sock: could not bind to port 443
[Sat Nov  2 00:08:30 2002] [crit] (98)Address already in use: make_sock: could not bind to port 443
[root@hostname httpd]#
[root@hostname httpd]#

443번이 LISTEN되어 있음을 확인

[root@hostname httpd]# netstat -an | grep 443
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN     
[root@hostname httpd]# lsof | grep LISTEN
[root@hostname httpd]#
[root@hostname httpd]#


/tmp 디렉토리내의 slapper관련 파일들 확인및 제거작업

[root@hostname httpd]# cd /tmp
[root@hostname tmp]# ls -al
total 924
drwxrwxrwt    5 root     root        24576 Nov  2 00:08 .
drwxr-xr-x   20 root     root         4096 Nov  1 18:17 ..
-rw-r-xr-x    1 apache   apache      71328 Oct 25 20:35 .cinik.c
-rwxr-xr-x    1 apache   apache       1312 Oct 25 20:35 .cinik.go
-rw-r--r--    1 apache   apache      98301 Oct 25 20:35 .cinik.uu
drwxr-xr-x    3 apache   apache       4096 Oct 25 20:35 .font-unix
-rw-------    1 apache   apache          0 Nov  1 23:29 sess_ebe457f3f791482003785888c2cd997a
-rw-------    1 apache   apache          0 Nov  1 23:38 sess_f288461da3a7941073733aad95d8550e
-rw-r--r--    1 apache   apache          0 Oct 31 06:26 .uubugtraq
[root@hostname tmp]# rm -f .uubugtraq
[root@hostname tmp]# rm -f .c*
[root@hostname tmp]#
[root@hostname tmp]# ls -al | more
total 744
drwxrwxrwt    5 root     root        24576 Nov  2 00:11 .
drwxr-xr-x   20 root     root         4096 Nov  1 18:17 ..
drwxr-xr-x    3 apache   apache       4096 Oct 25 20:35 .font-unix
-rw-------    1 apache   apache          0 Nov  1 23:55 sess_0a566be32179b5b60a555a7337adde4a
[root@hostname tmp]#

아파치 재시작하였으나 실패....

[root@hostname tmp]# /etc/rc.d/init.d/httpd restart
Stopping httpd:                                            [FAILED]
Starting httpd:                                            [  OK  ]
[root@hostname tmp]#
[root@hostname tmp]#
[root@hostname tmp]# ps -ef |grep httpd
root      1116   822  0 00:11 pts/4    00:00:00 grep httpd
[root@hostname tmp]#
[root@hostname tmp]#


443번이 아직 LISTEN되어 있음 재확인

[root@hostname tmp]# netstat -an | grep httpd
[root@hostname tmp]# netstat -an | grep 443 
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN     
[root@hostname tmp]#
[root@hostname tmp]# netstat -an | grep LISTEN
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     
tcp        0      0 111.111.111.111:53      0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN     
unix  2      [ ACC ]     STREAM     LISTENING     1363   /var/lib/mysql/mysql.sock


443번이 어떤 프로세스에서 사용하고 있는가를 확인함.

inetd라는 프로세스가 443번을 사용하고 있음. 이미 이 리눅스 서버는 xinetd가 사용되고 있으므로 inetd는 위장된 프로세스임.

아래는 443번을 사용하고 있는 inetd프로세스 kill 작업.

[root@hostname tmp]# lsof | grep 443
inetd     16953   apache  102u  IPv4    9520344               TCP *:443 (LISTEN)
inetd     16965   apache  102u  IPv4    9520344               TCP *:443 (LISTEN)
inetd     16974   apache  102u  IPv4    9520344               TCP *:443 (LISTEN)
[root@hostname tmp]#
[root@hostname tmp]# ps -ef | grep inetd
root       704     1  0 Oct21 ?        00:00:04 xinetd -stayalive -reuse -pidfil
apache   16953     1  0 Oct27 ?        00:00:00 ./inetd
apache   16965     1  0 Oct27 ?        00:00:07 ./inetd
apache   16974     1  0 Oct27 ?        00:00:01 ./inetd
root      1425   822  0 00:15 pts/4    00:00:00 grep inetd
[root@hostname tmp]# kill -9 16953 16965 16974
[root@hostname tmp]# ps -ef | grep inetd
root       704     1  0 Oct21 ?        00:00:04 xinetd -stayalive -reuse -pidfil
root      1431   822  0 00:16 pts/4    00:00:00 grep inetd


443번 사용하고 있던 inetd프로세스 제거후 아파치 재시작한 후에 아파치 프로세스 정상작동 확인함..


[root@hostname tmp]# /etc/rc.d/init.d/httpd restart
Stopping httpd:                                            [FAILED]
Starting httpd:                                            [  OK  ]
[root@hostname tmp]#
[root@hostname tmp]#
[root@hostname tmp]# ps -ef | grep httpd
papa      1326  1289  0 00:13 pts/5    00:00:00 tail -f /var/log/httpd/error_log
root      1465     1 11 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1468  1465  2 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1469  1465  2 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1470  1465  0 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1471  1465  0 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1472  1465  1 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1473  1465  2 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1474  1465  0 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1475  1465  2 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
apache    1484  1465  0 00:16 ?        00:00:00 /usr/sbin/httpd -DHAVE_ACCESS -D
root      1486   822  0 00:16 pts/4    00:00:00 grep httpd
[root@hostname tmp]#


이후 해야할 추가 작업들

openssl-0.9.6e버전이상을 재설치한다.  (생략)
아파치 최신버전으로 재설치한다.  (생략)


###############################################################


의견이 없습니다.
관련글 : 없음 글쓴시간 : 2002-11-02 1:05 from 61.78.240.22

 

리눅스포털