sun's longitude:242 14 32.58 
· 자유게시판 · 묻고답하기 · 알파문서 · RPMS list
· 사용자문서 · 팁/FAQ모음 · 리눅스Links · 자료실
· 서버정보 · 운영자 · Books/FAQ · FreeBSD
/board/delete.php:소스보기  

질문과 답변 게시판입니다.

현재 실시간으로 이곳 서버의 설정파일(몇개)를 보여주고 있습니다.
서버의 설정내용에 관한 질문은 먼저 이곳 서버의 설정내용을 참고하시길 바랍니다.

[*** 쓰기 금지단어 패턴 ***]
글 본문 중간에 업로드할 이미지를 추가하는 방법 : @@이미지이름@@
ex) @@foo.gif@@
 ★ 글 지우기 항목입니다. 한번 더 생각하시고 결정하십시오.!!!
제목 2830 번 글의 답장글 : Re: Re: Re: 해킹인것 같은데 이상하게 링크가 이곳에
 이름  산이 [홈]http://linuxchannel.net

[땅콩]님이 남기신 글:

>  답변 감사합니다.
>
>  현재 저희 서버 떠있는 프로세스 들입니다.
>  필요없는 데몬들이 많이 떠있는데 어떤것들이 필요없는것인지 
>  몰라 현재 이렇게 떠있네요...
>
>    1 ?        00:00:04 init
>    2 ?        00:00:00 keventd
>    3 ?        00:00:00 kapm-idled
>    4 ?        00:00:02 kswapd
>    5 ?        00:00:00 kreclaimd
>    6 ?        00:00:00 bdflush
>    7 ?        00:00:00 kupdated
>    8 ?        00:00:00 mdrecoveryd
>  420 ?        00:00:00 eth0
>  630 ?        00:00:00 apmd
>  681 ?        00:00:00 automount
>  726 ?        00:00:00 sshd
>  750 ?        00:00:00 xinetd
>  798 ?        00:00:00 sendmail
>  802 ?        00:00:00 sendmail
>  818 ?        00:00:00 gpm
>  844 ?        00:00:00 crond
>  963 tty1     00:00:00 mingetty
>  964 tty2     00:00:00 mingetty
>  965 tty3     00:00:00 mingetty
>  966 tty4     00:00:00 mingetty
>  967 tty5     00:00:00 mingetty
>  968 tty6     00:00:00 mingetty
> 1072 ?        00:00:00 named
>  1098 ?        00:00:00 proftpd
> 1103 ?        00:00:00 DpSvr
> 1107 ?        00:00:00 libhttpd.ep
> 1167 ?        00:00:00 safe_mysqld
>  1953 ?        00:00:00 proftpd
>  5569 ?        00:00:00 libhttpd.ep 
>12628 ?        00:00:00 proftpd
>13109 ?        00:00:00 proftpd
>13975 ?        00:00:00 crond
>13976 ?        00:00:00 run-parts
>13986 ?        00:00:00 awk
>13987 ?        00:00:00 sa1
>13989 ?        00:00:00 sadc
>14008 ?        00:00:00 proftpd
>14135 ?        00:00:00 in.telnetd
>14136 pts/3    00:00:00 login
>14171 pts/3    00:00:00 mysql
>14172 ?        00:00:00 mysqld
>14618 ?        00:00:00 in.telnetd
>14619 pts/0    00:00:00 login
>14756 ?        00:00:00 in.telnetd
>14757 pts/2    00:00:00 login
>14758 pts/2    00:00:00 bash
>14815 ?        00:00:00 libhttpd.ep
>
>보여주신 화면이 맞습니다. 그런데 칼라로 되어 있는것만 다르고요...
>
>그 화면이 특정 파일에 있는게 아니라 제가 
>http://www.artpen.co.kr로 저희 사이트로 들어 갔을때 뜨더라고요
>그리고 저희 직원은 http://www.artpen.co.kr과 관련된 페이지가 아닌
>다른 페이지로 접속했을때도 이 화면을 봤다고 하더라고요.
>제 생각에는...옮겨다니지 않는지 모르겠네요....
>이 화면을 봤을때 새로고침을 하게되면 페이지를 표시할수 없다고
>나오는데 몇번 다시 하면 정상적으로 작동이 되고요...
>
>telnet,ftp 접속이 자주 끊기고 가끔씩 바로 접속이 안됩니다.
>telnet 접속 안될때 메시지는
>
>
> Socket Error 발생 [10060]
>- Connect에서 Error 발생
>
>messages 파 일 내용중에 이런곳이 있습니다.
>Dec 19 11:46:47 wap rpc.statd[546]: gethostbyname error for ^X??X??Z??Z??8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%h
>n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220
>
>rpc.statd 검색해보닌깐 buffer overflow 공격 시도 로그라고 하던데
>이 보그버젼이 떠있을 경우 해킹이 맞다고 되어 있더군요
>그래서 현재 그데몬은 죽인 상태 이고요...
>
>현재로선 제가 알고 있는 것이 이정도이고요
>알려고해도 뭘 해야할지 모르겠습니다.
>
>주위에선 백업받고 다시 깔라는 말은 하는데 
>
>어쩔수 없을때 그렇게 해야하겠지만 현재로선 실려고 없지만
>시간적 여유가 없고 .......
>
>수고스럽지만 조언 부탁드립니다...
>
>
> 

========================================

크래킹이 95% 이상 확실한것 같군요.

http://www.certcc.or.kr/paper/incident_note/2001/in2001_002.html
http://www.certcc.or.kr/advisory/ka2000/ka2000-030.txt
(아주 오래된 리눅스 버전에서는 치명적이더군요)

가장 최선은 최근의 리눅스 배포판으로
다시 설치하는 것이 좋을 것 같군요..

차선책으로는
NFS(RPC 관련) 관련 데몬을 모두 제거하고
rootkit 프로그램을 찾아 없애야 합니다.

sysinfo PHP가 있는 걸로 봐서
국내 크래커의 짓이 아닌가 하는 생각이 드는군요.


2002년 12월 20일 18:11:25 금(저녁)  from 61.254.75.40
0
암호: 공용 보안 SSL 서버가 준비되기 전까지는 off 합니다

apache lighttpd linuxchannel.net 
Copyright 1997-2024. linuxchannel.net. All rights reserved.

Page loading: 0.01(server) + (network) + (browser) seconds