sun's longitude:242 26 47.14 
· 자유게시판 · 묻고답하기 · 알파문서 · RPMS list
· 사용자문서 · 팁/FAQ모음 · 리눅스Links · 자료실
· 서버정보 · 운영자 · Books/FAQ · FreeBSD
/board/read.php:소스보기  

질문과 답변 게시판입니다.

현재 실시간으로 이곳 서버의 설정파일(몇개)를 보여주고 있습니다.
서버의 설정내용에 관한 질문은 먼저 이곳 서버의 설정내용을 참고하시길 바랍니다.
[*** 쓰기 금지단어 패턴 ***]
글 본문 중간에 업로드할 이미지를 추가하는 방법 : @@이미지이름@@
ex) @@foo.gif@@
2234 번 글의 답장글: Re: Re: Re: Re: 답변 감사합니다.(^^)
글쓴이: 바다 글쓴날: 2005년 01월 10일 16:34:17 월(오후) 조회: 1640 

[산이]님이 남기신 글:

>
>[바다]님이 남기신 글:
>
>>[산이]님이 남기신 글:
>>
>>>
>>>[바다]님이 남기신 글:
>>>
>>>> "웹변조 예방(PHP 최신 프로그램(PHP 4.3.10 및 PHP 5.0.3)
업그레이드(http://www.php.net/downloads.php)-php.ini 환경설정 중
allow_url_fopen의 값을 off로 변경)"의
>>>>경고가 떠돌고 당한 곳이 주위에서 많은것 같아서
>>>>서버 중 한대에 대해서(on으로 되어 있는,,) off로
변경할려고
>>>>오늘 접속해보니,,,
>>>>,,,last 명령어로 접속 정보가 안나오길래 
>>>>/var/log/wtmp를
 보니깐,,,아래와
 같습니다.
>>>>
>>>>/var/log
>>>>lrwxrwxrwx    1 root     root            9  1월  1 15:59 wtmp ->
/dev/null
>>>>
>>>>
>>>>또, root의 history도 지워진것 같아 확인해보니깐,,,,,아래와
 같습니다.
>>>>
>>>>/root
>>>>lrwxrwxrwx    1 root     root            9  1월  1 15:08 .bash_history ->
/dev/null
>>>>
>>>>이거 해킹당한건가요?

>>>>새로운 계정이 생성된건 없더라구요,,,
>>>>그리고 별다른 이상증상도 아직은,,,^^;;
>>>>
>>>>해킹당한건지요?

>>>>어케 해야 하나요?
>>>>
>>>>
>>>>참 그리고 위의 심볼릭 링크되어 있는것은 
>>>>해제해 버리면 되나요?
>>>>해제해도 문제는 안생기겠죠?
>>>>
>>>>해제하는 명령어를 모르겠습니다,(리눅스
 사전 보아도 안나오네요,,)
>>>>어떻게 해제 하나요?
>>>>
>>>>음,,잠못이루는
 밤이 될것 같네요,,,
>>>>좋은 밤 되세요,,, 
>>>
>>>========================================
>>>
>>>크래킹 흔적이 맞습니다.
>>>
>>>위의 심볼릭 링크를 지우고 파일을 생성해 주면
됩니다.
>>>(퍼미션 동일하게)
>>>
>>>그리고
>>>
>>>chkrootkit 같은 점검툴로 한번 점검해 보세요 
>>
>>========================================
>>
>>조금 더 살펴보니 의심되는 계정이 하나 있더군요,,,
>>
>>몇개월 전에 고객에게 발급되었다가 일정기간
사용하다가
>>서비스 중지 요청한 계정이 있었는데,,,
>>
>>제가 웹서비스 등은 중지를 시키고
>>계정 아이디는 삭제를 안했었었습니다.

>>(서비스 중지 요청이라 언제 다시 서비스 재개 요청할지
몰라서,,)
>>
>>그 계정이 somexxx 였는데
>>위에서 언급한 root의 bash_history 변조 시간과
>>/var/log/wtmp 변조시간대와 같은 날짜 비슷한 시간대에
>>로그인 한 흔적이 있더군요
>>
>>그리고 자신의 홈 디렉토리에 있는 bash_history까지 심볼릭
링크(/dev/null값으로)를
 걸어두었더군요,,,

>>아무래도 somexxx의 행동같습니다.
>>wtmp와 history로그는 지웠지만 lastlog는 못지우고 나간것
같더군요,,,
>>접속 시간 및  ip가 나와 있는데 ip가 국내망이더군요,,,

>>
>>chkrootkit 돌려보았는데 의심되는 증상은 안나옵니다.
>>특별히 해당 서버에 문제되는 증상도 아직 없구요,,,
>>
>>근데 제가 궁금한 것은 일반 계정 사용자가 root의 bash_history
파일과
>>/var/log/wtmp 파일에 심볼릭 링크를 그렇게 쉽게 걸수가
있나요?
>>
>>아니면 해킹 툴같은 것을 사용했을까요,,,?

>>그냥 넘어가는게 좋을지 신고하는게 좋을지
고민됩니다,,,
>>계정 발급되었던 해당 업체 담당자에게 확인해보니
somexxx계정정보를
 여러사람이 알고 있다고 하더라구요,,,
>>로그인 한 적이 있는지 확인요청했더니,,,

>>자기네 직원들에게 물어본 결과 로그인 한 적 없다고
합니다,
>>
>>이런 경우 실무적인 차원에서 어떻게 하는게 좋을지
>>난감하네요,,,

>>
>>좋은 답변에 늘 감사드립니다.(__)
 
>
>========================================
>
>다른 방법은 없는 것 같습니다.
>
>일단 somexxx 계정을 여러명이 공유하면서 사용하면 누군가
제3자까지
>가게되고 제 3자가 로그인하여 시스템을 크래킹했다고 밖에 볼
수가
>없네요.
>
>시간이 된다면 시스템을 다시 설치하는 것이
좋습니다.
>
>그리고 한가지
>계정을 잠시 잠글 경우가 있는데 이때는 /etc/passwd
파일에서
>해당 계정 앞에 특수문자(*,!@#$%^&*())
 등을 붙이거나 계정을
>살짝 다른이름으로 바꾸어 놓는 것이 좋습니다. 

========================================

좋은 답변 감사드립니다.

새해에도 늘 건강하시고 행복하세요,,, ^^

 
이전글 : Re: Re: Re: 이거 해킹 당한 건지요?
다음글 : 메일 보내고 받기 문제  		  from 219.248.38.31
JS(Redhands)Board 0.4 +@
Re: Re: Re: 이거 해킹 당한 건지요? 메일 보내고 받기 문제
인쇄용 

apache lighttpd linuxchannel.net 
Copyright 1997-2024. linuxchannel.net. All rights reserved.

Page loading: 0.01(server) + (network) + (browser) seconds