[산이]님이 남기신 글:

>
>[바다]님이 남기신 글:
>
>> "웹변조 예방(PHP 최신 프로그램(PHP 4.3.10 및 PHP 5.0.3)
업그레이드(http://www.php.net/downloads.php)-php.ini 환경설정 중
allow_url_fopen의 값을 off로 변경)"의
>>경고가 떠돌고 당한 곳이 주위에서 많은것 같아서
>>서버 중 한대에 대해서(on으로 되어 있는,,) off로
변경할려고
>>오늘 접속해보니,,,
>>,,,last 명령어로 접속 정보가 안나오길래 
>>/var/log/wtmp를 보니깐,,,아래와
 같습니다.
>>
>>/var/log
>>lrwxrwxrwx    1 root     root            9  1월  1 15:59 wtmp ->
/dev/null
>>
>>
>>또, root의 history도 지워진것 같아 확인해보니깐,,,,,아래와
 같습니다.
>>
>>/root
>>lrwxrwxrwx    1 root     root            9  1월  1 15:08 .bash_history ->
/dev/null
>>
>>이거 해킹당한건가요?

>>새로운 계정이 생성된건 없더라구요,,,
>>그리고 별다른 이상증상도 아직은,,,^^;;
>>
>>해킹당한건지요?

>>어케 해야 하나요?
>>
>>
>>참 그리고 위의 심볼릭 링크되어 있는것은 
>>해제해 버리면 되나요?
>>해제해도 문제는 안생기겠죠?
>>
>>해제하는 명령어를 모르겠습니다,(리눅스
 사전 보아도 안나오네요,,)
>>어떻게 해제 하나요?
>>
>>음,,잠못이루는
 밤이 될것 같네요,,,
>>좋은 밤 되세요,,, 
>
>========================================
>
>크래킹 흔적이 맞습니다.
>
>위의 심볼릭 링크를 지우고 파일을 생성해 주면
됩니다.
>(퍼미션 동일하게)
>
>그리고
>
>chkrootkit 같은 점검툴로 한번 점검해 보세요 

========================================

조금 더 살펴보니 의심되는 계정이 하나 있더군요,,,

몇개월 전에 고객에게 발급되었다가 일정기간 사용하다가
서비스 중지 요청한 계정이 있었는데,,,

제가 웹서비스 등은 중지를 시키고
계정 아이디는 삭제를 안했었었습니다.

(서비스 중지 요청이라 언제 다시 서비스 재개 요청할지
몰라서,,)

그 계정이 somexxx 였는데
위에서 언급한 root의 bash_history 변조 시간과
/var/log/wtmp 변조시간대와 같은 날짜 비슷한 시간대에
로그인 한 흔적이 있더군요

그리고 자신의 홈 디렉토리에 있는 bash_history까지 심볼릭
링크(/dev/null값으로)를
 걸어두었더군요,,,

아무래도 somexxx의 행동같습니다.
wtmp와 history로그는 지웠지만 lastlog는 못지우고 나간것
같더군요,,,
접속 시간 및  ip가 나와 있는데 ip가 국내망이더군요,,,


chkrootkit 돌려보았는데 의심되는 증상은 안나옵니다.
특별히 해당 서버에 문제되는 증상도 아직 없구요,,,

근데 제가 궁금한 것은 일반 계정 사용자가 root의 bash_history
파일과
/var/log/wtmp 파일에 심볼릭 링크를 그렇게 쉽게 걸수가 있나요?

아니면 해킹 툴같은 것을 사용했을까요,,,?

그냥 넘어가는게 좋을지 신고하는게 좋을지 고민됩니다,,,
계정 발급되었던 해당 업체 담당자에게 확인해보니
somexxx계정정보를
 여러사람이 알고 있다고 하더라구요,,,
로그인 한 적이 있는지 확인요청했더니,,,

자기네 직원들에게 물어본 결과 로그인 한 적 없다고 합니다,

이런 경우 실무적인 차원에서 어떻게 하는게 좋을지
난감하네요,,,

좋은 답변에 늘 감사드립니다.(__)