제목 |
2830 번 글의 답장글 : Re: Re: Re: 해킹인것 같은데 이상하게 링크가 이곳에 |
이름 |
산이 [홈]http://linuxchannel.net |
[땅콩]님이 남기신 글:
> 답변 감사합니다.
>
> 현재 저희 서버 떠있는 프로세스 들입니다.
> 필요없는 데몬들이 많이 떠있는데 어떤것들이 필요없는것인지
> 몰라 현재 이렇게 떠있네요...
>
> 1 ? 00:00:04 init
> 2 ? 00:00:00 keventd
> 3 ? 00:00:00 kapm-idled
> 4 ? 00:00:02 kswapd
> 5 ? 00:00:00 kreclaimd
> 6 ? 00:00:00 bdflush
> 7 ? 00:00:00 kupdated
> 8 ? 00:00:00 mdrecoveryd
> 420 ? 00:00:00 eth0
> 630 ? 00:00:00 apmd
> 681 ? 00:00:00 automount
> 726 ? 00:00:00 sshd
> 750 ? 00:00:00 xinetd
> 798 ? 00:00:00 sendmail
> 802 ? 00:00:00 sendmail
> 818 ? 00:00:00 gpm
> 844 ? 00:00:00 crond
> 963 tty1 00:00:00 mingetty
> 964 tty2 00:00:00 mingetty
> 965 tty3 00:00:00 mingetty
> 966 tty4 00:00:00 mingetty
> 967 tty5 00:00:00 mingetty
> 968 tty6 00:00:00 mingetty
> 1072 ? 00:00:00 named
> 1098 ? 00:00:00 proftpd
> 1103 ? 00:00:00 DpSvr
> 1107 ? 00:00:00 libhttpd.ep
> 1167 ? 00:00:00 safe_mysqld
> 1953 ? 00:00:00 proftpd
> 5569 ? 00:00:00 libhttpd.ep
>12628 ? 00:00:00 proftpd
>13109 ? 00:00:00 proftpd
>13975 ? 00:00:00 crond
>13976 ? 00:00:00 run-parts
>13986 ? 00:00:00 awk
>13987 ? 00:00:00 sa1
>13989 ? 00:00:00 sadc
>14008 ? 00:00:00 proftpd
>14135 ? 00:00:00 in.telnetd
>14136 pts/3 00:00:00 login
>14171 pts/3 00:00:00 mysql
>14172 ? 00:00:00 mysqld
>14618 ? 00:00:00 in.telnetd
>14619 pts/0 00:00:00 login
>14756 ? 00:00:00 in.telnetd
>14757 pts/2 00:00:00 login
>14758 pts/2 00:00:00 bash
>14815 ? 00:00:00 libhttpd.ep
>
>보여주신 화면이 맞습니다. 그런데 칼라로 되어 있는것만 다르고요...
>
>그 화면이 특정 파일에 있는게 아니라 제가
>http://www.artpen.co.kr로 저희 사이트로 들어 갔을때 뜨더라고요
>그리고 저희 직원은 http://www.artpen.co.kr과 관련된 페이지가 아닌
>다른 페이지로 접속했을때도 이 화면을 봤다고 하더라고요.
>제 생각에는...옮겨다니지 않는지 모르겠네요....
>이 화면을 봤을때 새로고침을 하게되면 페이지를 표시할수 없다고
>나오는데 몇번 다시 하면 정상적으로 작동이 되고요...
>
>telnet,ftp 접속이 자주 끊기고 가끔씩 바로 접속이 안됩니다.
>telnet 접속 안될때 메시지는
>
>
> Socket Error 발생 [10060]
>- Connect에서 Error 발생
>
>messages 파 일 내용중에 이런곳이 있습니다.
>Dec 19 11:46:47 wap rpc.statd[546]: gethostbyname error for ^X??X??Z??Z??8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%h
>n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220
>
>rpc.statd 검색해보닌깐 buffer overflow 공격 시도 로그라고 하던데
>이 보그버젼이 떠있을 경우 해킹이 맞다고 되어 있더군요
>그래서 현재 그데몬은 죽인 상태 이고요...
>
>현재로선 제가 알고 있는 것이 이정도이고요
>알려고해도 뭘 해야할지 모르겠습니다.
>
>주위에선 백업받고 다시 깔라는 말은 하는데
>
>어쩔수 없을때 그렇게 해야하겠지만 현재로선 실려고 없지만
>시간적 여유가 없고 .......
>
>수고스럽지만 조언 부탁드립니다...
>
>
>
========================================
크래킹이 95% 이상 확실한것 같군요.
http://www.certcc.or.kr/paper/incident_note/2001/in2001_002.html
http://www.certcc.or.kr/advisory/ka2000/ka2000-030.txt
(아주 오래된 리눅스 버전에서는 치명적이더군요)
가장 최선은 최근의 리눅스 배포판으로
다시 설치하는 것이 좋을 것 같군요..
차선책으로는
NFS(RPC 관련) 관련 데몬을 모두 제거하고
rootkit 프로그램을 찾아 없애야 합니다.
sysinfo PHP가 있는 걸로 봐서
국내 크래커의 짓이 아닌가 하는 생각이 드는군요.
|
2002년 12월 20일 18:11:25 금(저녁) from 61.254.75.40 |