제목 |
4560 번 글의 답장글 : Re: chkrootkit 에서 이상한것이 발견되었는데요.. |
이름 |
산이 [홈]http://linuxchannel.net/ |
[고재두]님이 남기신 글:
>안녕하세요...
>제가 몇달 쯤 켜놓은 서버를 어제 chkrootkit 를 설치하여 무심코 검색해 봤습니다...
>그런데 평소에 안보이던 뭔가가 있어서 궁금해서 글 올립니다..
>
>밑에 보시면 lkm 부분에 you have 5 process.... 뭐라고 있는데요.
>
>데체 이게 무엇을 말하는건가요???
>원래는 lkm 도 nothing detected 로 나와야 증상 인걸로 아는데요...
>혹시 해킹 당한건 아닌지요???? ㅡㅡ..
>
>해킹 당했다면 어떻게 해야 하져 ㅡㅡ... 에흐~
>
>----------------------------------------------------------
>Searching for anomalies in shell history files... nothing found
>Checking `asp'... not infected
>Checking `bindshell'... not infected
>Checking `lkm'... You have 5 process hidden for ps command
>Warning: Possible LKM Trojan installed
>Checking `rexedcs'... not found
>Checking `sniffer'... Checking `w55808'... not infected
>Checking `wted'... nothing deleted
>Checking `scalper'... not infected
>Checking `slapper'... not infected
>Checking `z2'... nothing deleted
>----------------------------------------------------------
5개의 숨겨진 프로세스를 찾았다는 의미이고 LKM 이라는 트라이잔 백도어가
심어져 있을 가능성이 높다는 것을 의미합니다.
거의 95% 이상 크래킹 당했다고 생각해야할 것 같습니다.
1. 응급조치(소극적)
일단은 해당 배포판의 procps-xxx.rpm 을 CD 에서 찾아서
강제로 재설치해야 합니다.
shell> rpm --nodeps --force -Uvh procps-xxx.rpm
그리고 숨겨진 프로세스를 찾아서 죽여댜 하는데 찾기 어려우면
시스템을 재부팅하세요.
재부팅후 다시 chkrootkit 를 돌려보세요.
만약 아직도 같은 증상이면 시스템을 다시 설치해야 합니다.
(물론 데이터는 백업하고..)
2. 권장방법(적극적)
위의 사실을 상사에게 보고하고 시스템을 다시설치해야함을
알리세요..
모든 자료를 백업합니다.(실행파일은 빼고 설정파일하고 순수 데이터
정도만)
그리고 마지막으로 시스템을 파티션 구성부터 다시하여(포맷의 개념)
설치, 설정해야 합니다.
3. 후조치(절대권장)
아무리 못해도 최소한 TCP Wrapper 정도는 ***반드시*** 설치하고
설정하세요. |
2003년 12월 13일 00:00:39 토(새벽) from 61.254.74.228 |