[땅콩]님이 남기신 글:

>  답변 감사합니다.
>
>  현재 저희 서버 떠있는 프로세스 들입니다.
>  필요없는 데몬들이 많이 떠있는데 어떤것들이
필요없는것인지
 
>  몰라 현재 이렇게 떠있네요...
>
>    1 ?        00:00:04 init
>    2 ?        00:00:00 keventd
>    3 ?        00:00:00 kapm-idled
>    4 ?        00:00:02 kswapd
>    5 ?        00:00:00 kreclaimd
>    6 ?        00:00:00 bdflush
>    7 ?        00:00:00 kupdated
>    8 ?        00:00:00 mdrecoveryd
>  420 ?        00:00:00 eth0
>  630 ?        00:00:00 apmd
>  681 ?        00:00:00 automount
>  726 ?        00:00:00 sshd
>  750 ?        00:00:00 xinetd
>  798 ?        00:00:00 sendmail
>  802 ?        00:00:00 sendmail
>  818 ?        00:00:00 gpm
>  844 ?        00:00:00 crond
>  963 tty1     00:00:00 mingetty
>  964 tty2     00:00:00 mingetty
>  965 tty3     00:00:00 mingetty
>  966 tty4     00:00:00 mingetty
>  967 tty5     00:00:00 mingetty
>  968 tty6     00:00:00 mingetty
> 1072 ?        00:00:00 named
>  1098 ?        00:00:00 proftpd
> 1103 ?        00:00:00 DpSvr
> 1107 ?        00:00:00 libhttpd.ep
> 1167 ?        00:00:00 safe_mysqld
>  1953 ?        00:00:00 proftpd
>  5569 ?        00:00:00 libhttpd.ep 
>12628 ?        00:00:00 proftpd
>13109 ?        00:00:00 proftpd
>13975 ?        00:00:00 crond
>13976 ?        00:00:00 run-parts
>13986 ?        00:00:00 awk
>13987 ?        00:00:00 sa1
>13989 ?        00:00:00 sadc
>14008 ?        00:00:00 proftpd
>14135 ?        00:00:00 in.telnetd
>14136 pts/3    00:00:00 login
>14171 pts/3    00:00:00 mysql
>14172 ?        00:00:00 mysqld
>14618 ?        00:00:00 in.telnetd
>14619 pts/0    00:00:00 login
>14756 ?        00:00:00 in.telnetd
>14757 pts/2    00:00:00 login
>14758 pts/2    00:00:00 bash
>14815 ?        00:00:00 libhttpd.ep
>
>보여주신 화면이 맞습니다. 그런데 칼라로 되어 있는것만
다르고요...
>
>그 화면이 특정 파일에 있는게 아니라 제가 
>http://www.artpen.co.kr로
 저희 사이트로 들어 갔을때 뜨더라고요
>그리고 저희 직원은 http://www.artpen.co.kr과
 관련된 페이지가 아닌
>다른 페이지로 접속했을때도 이 화면을 봤다고
하더라고요.
>제 생각에는...옮겨다니지
 않는지 모르겠네요....
>이 화면을 봤을때 새로고침을 하게되면 페이지를 표시할수
없다고
>나오는데 몇번 다시 하면 정상적으로 작동이
되고요...
>
>telnet,ftp 접속이 자주 끊기고 가끔씩 바로 접속이
안됩니다.
>telnet 접속 안될때 메시지는
>
>
> Socket Error 발생 [10060]
>- Connect에서 Error 발생
>
>messages 파 일 내용중에 이런곳이 있습니다.
>Dec 19 11:46:47 wap rpc.statd[546]: gethostbyname error for
^X??X??Z??Z??8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%h
>n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\22
>0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\
>220\220\220\220\220
>
>rpc.statd 검색해보닌깐 buffer overflow 공격 시도 로그라고
하던데
>이 보그버젼이 떠있을 경우 해킹이 맞다고 되어
있더군요
>그래서 현재 그데몬은 죽인 상태 이고요...
>
>현재로선 제가 알고 있는 것이 이정도이고요
>알려고해도 뭘 해야할지 모르겠습니다.
>
>주위에선 백업받고 다시 깔라는 말은 하는데 
>
>어쩔수 없을때 그렇게 해야하겠지만 현재로선 실려고
없지만
>시간적 여유가 없고 .......
>
>수고스럽지만 조언 부탁드립니다...

>
>
> 

========================================

크래킹이 95% 이상 확실한것 같군요.

http://www.certcc.or.kr/paper/incident_note/2001/in2001_002.html
http://www.certcc.or.kr/advisory/ka2000/ka2000-030.txt
(아주 오래된 리눅스 버전에서는 치명적이더군요)


가장 최선은 최근의 리눅스 배포판으로
다시 설치하는 것이 좋을 것 같군요..

차선책으로는
NFS(RPC 관련) 관련 데몬을 모두 제거하고
rootkit 프로그램을 찾아 없애야 합니다.

sysinfo PHP가 있는 걸로 봐서
국내 크래커의 짓이 아닌가 하는 생각이 드는군요.