sun's longitude:242 34 9.51 
· 자유게시판 · 묻고답하기 · 알파문서 · RPMS list
· 사용자문서 · 팁/FAQ모음 · 리눅스Links · 자료실
· 서버정보 · 운영자 · Books/FAQ · FreeBSD
/board/read.php:소스보기  

질문과 답변 게시판입니다.

현재 실시간으로 이곳 서버의 설정파일(몇개)를 보여주고 있습니다.
서버의 설정내용에 관한 질문은 먼저 이곳 서버의 설정내용을 참고하시길 바랍니다.
[*** 쓰기 금지단어 패턴 ***]
글 본문 중간에 업로드할 이미지를 추가하는 방법 : @@이미지이름@@
ex) @@foo.gif@@
2234 번 글의 답장글: Re: Re: Re: 이거 해킹 당한 건지요?
글쓴이: 산이 [홈페이지] 글쓴날: 2005년 01월 08일 15:36:00 토(오후) 조회: 1746 

[바다]님이 남기신 글:

>[산이]님이 남기신 글:
>
>>
>>[바다]님이 남기신 글:
>>
>>> "웹변조 예방(PHP 최신 프로그램(PHP 4.3.10 및 PHP 5.0.3)
업그레이드(http://www.php.net/downloads.php)-php.ini 환경설정 중
allow_url_fopen의 값을 off로 변경)"의
>>>경고가 떠돌고 당한 곳이 주위에서 많은것 같아서
>>>서버 중 한대에 대해서(on으로 되어 있는,,) off로
변경할려고
>>>오늘 접속해보니,,,
>>>,,,last 명령어로 접속 정보가 안나오길래 
>>>/var/log/wtmp를 보니깐,,,아래와
 같습니다.
>>>
>>>/var/log
>>>lrwxrwxrwx    1 root     root            9  1월  1 15:59 wtmp ->
/dev/null
>>>
>>>
>>>또, root의 history도 지워진것 같아 확인해보니깐,,,,,아래와
 같습니다.
>>>
>>>/root
>>>lrwxrwxrwx    1 root     root            9  1월  1 15:08 .bash_history ->
/dev/null
>>>
>>>이거 해킹당한건가요?

>>>새로운 계정이 생성된건 없더라구요,,,
>>>그리고 별다른 이상증상도 아직은,,,^^;;
>>>
>>>해킹당한건지요?

>>>어케 해야 하나요?
>>>
>>>
>>>참 그리고 위의 심볼릭 링크되어 있는것은 
>>>해제해 버리면 되나요?
>>>해제해도 문제는 안생기겠죠?
>>>
>>>해제하는 명령어를 모르겠습니다,(리눅스
 사전 보아도 안나오네요,,)
>>>어떻게 해제 하나요?
>>>
>>>음,,잠못이루는
 밤이 될것 같네요,,,
>>>좋은 밤 되세요,,, 
>>
>>========================================
>>
>>크래킹 흔적이 맞습니다.
>>
>>위의 심볼릭 링크를 지우고 파일을 생성해 주면
됩니다.
>>(퍼미션 동일하게)
>>
>>그리고
>>
>>chkrootkit 같은 점검툴로 한번 점검해 보세요 
>
>========================================
>
>조금 더 살펴보니 의심되는 계정이 하나 있더군요,,,
>
>몇개월 전에 고객에게 발급되었다가 일정기간
사용하다가
>서비스 중지 요청한 계정이 있었는데,,,
>
>제가 웹서비스 등은 중지를 시키고
>계정 아이디는 삭제를 안했었었습니다.

>(서비스 중지 요청이라 언제 다시 서비스 재개 요청할지
몰라서,,)
>
>그 계정이 somexxx 였는데
>위에서 언급한 root의 bash_history 변조 시간과
>/var/log/wtmp 변조시간대와 같은 날짜 비슷한 시간대에
>로그인 한 흔적이 있더군요
>
>그리고 자신의 홈 디렉토리에 있는 bash_history까지 심볼릭
링크(/dev/null값으로)를
 걸어두었더군요,,,

>아무래도 somexxx의 행동같습니다.
>wtmp와 history로그는 지웠지만 lastlog는 못지우고 나간것
같더군요,,,
>접속 시간 및  ip가 나와 있는데 ip가 국내망이더군요,,,

>
>chkrootkit 돌려보았는데 의심되는 증상은 안나옵니다.
>특별히 해당 서버에 문제되는 증상도 아직 없구요,,,
>
>근데 제가 궁금한 것은 일반 계정 사용자가 root의 bash_history
파일과
>/var/log/wtmp 파일에 심볼릭 링크를 그렇게 쉽게 걸수가
있나요?
>
>아니면 해킹 툴같은 것을 사용했을까요,,,?

>그냥 넘어가는게 좋을지 신고하는게 좋을지
고민됩니다,,,
>계정 발급되었던 해당 업체 담당자에게 확인해보니
somexxx계정정보를
 여러사람이 알고 있다고 하더라구요,,,
>로그인 한 적이 있는지 확인요청했더니,,,

>자기네 직원들에게 물어본 결과 로그인 한 적 없다고
합니다,
>
>이런 경우 실무적인 차원에서 어떻게 하는게 좋을지
>난감하네요,,,
>
>좋은 답변에 늘 감사드립니다.(__)
 

========================================

다른 방법은 없는 것 같습니다.

일단 somexxx 계정을 여러명이 공유하면서 사용하면 누군가
제3자까지
가게되고 제 3자가 로그인하여 시스템을 크래킹했다고 밖에 볼
수가
없네요.

시간이 된다면 시스템을 다시 설치하는 것이 좋습니다.

그리고 한가지
계정을 잠시 잠글 경우가 있는데 이때는 /etc/passwd 파일에서
해당 계정 앞에 특수문자(*,!@#$%^&*())
 등을 붙이거나 계정을
살짝 다른이름으로 바꾸어 놓는 것이 좋습니다.

 
이전글 : Re: Re: 이거 해킹 당한 건지요?
다음글 : Re: Re: Re: Re: 답변 감사합니다.(^^)  		  from 61.254.75.78
JS(Redhands)Board 0.4 +@
Re: Re: 이거 해킹 당한 건지요? Re: Re: Re: Re: 답변 감사합니다.(^^)
인쇄용 

apache lighttpd linuxchannel.net 
Copyright 1997-2024. linuxchannel.net. All rights reserved.

Page loading: 0.01(server) + (network) + (browser) seconds