| [ LinuxFreeBSD ] in KIDS 글 쓴 이(By): wooki (우기) 날 짜 (Date): 2000년 8월 24일 목요일 오전 05시 52분 11초 제 목(Title): [급질]해킹당했습니다. 제 리눅스(알짜 6.1) 머쉰이 해킹을 당해씸미다... 해커라는 눔이 이미 들어와서 휘젓고 다니면서 co.kr 로 시작하는 모든 네임 서버들의 리스트를 좌악 잡아다가 포트 스캐닝까지 하고 있었습니다. 제 서버가 네임서버기능도 하고 있었는데, 같은 방식으로 다른 곳에서 당한건 아닌가 싶기도 합니다만.. 잘 모르는 관계로 ^^ 개구멍(백도어)은 기본으로 깔아놓고 날랐습니다. find /dev -type f 로 해서 보니깐, /dev/ttypz 라는 파일이 있고, 거기에 로긴시에 쳐넣은 아이디와 패스워드가 고스란이 깔끔하게도 기록이 되어 있었습니다. 비번을 바꾸고 새로 로긴을 하니, 아주 기가막히게 바로 적어주더군요.. 제가 /etc/hosts.allow 와 hosts.deny 파일을 손을 봐서 in.telnted , in.ftpd 를 로컬망(같은 서브넷망)만 들어오게 하고 다른 것은 아예 못들어 오게 했는데도 이 누므 자슥이 들어와서 hosts.deny 파일을 아예 날려 버렸더군요.. 여기서 궁금증 하나! 여기 네트웍은 파이어월이 설치되어 있어서 허가받지 않는 이상 절대로 23번 포트인 텔넷포트로 로긴을 할 수가 없습니다. 근데 이누믄 로긴을 했습니다. ----------------------------- /var/log/messages ----------------------------- Aug 22 14:47:31 form in.telnetd[2953]: connect from 213.8.14.129 Aug 22 14:48:22 form login: LOGIN ON 3 BY lsd FROM Haifa-14-129.access.net.il Aug 22 14:49:31 form in.ftpd[3004]: connect from 213.8.14.129 ----------------------------- /var/log/messages ----------------------------- 이게 가능합니까? 궁금증 둘! tcp wrapper로 못들어 오게 했는데도 들어왔다는 건 로컬망이 뚫린 것입니까? 궁금중 셋! 이미 개구멍을 파놓고 도망을 갔는데 (bindshell추정), 아예 /etc/hosts.deny를 모두 막고, /etc/hosts.allow를 거의 안열거나 특정 아이피에 대해서만 연다면 이 누므 자슥이 다신 못들어오게 할 수 있는가요? 아니면 /etc/hosts.allow 를 아예 안 열더라도 이미 개구멍은 파 놨기 때문에 바이패스되는가요? 언제 날 잡아서 시스템을 사그리 갈아엎고 다시 설치를 해야 하는데, 빠른 시일내에 시간이 날것 같지가 않고, 워낙 깔아놓은게 많아서 다시 깔려며는 하루 꼴딱 잡아 먹을 일이라서 시간 날때까지 임시방편으루다가니 돌아가게 할려고 합니다. 고수님들의 도움 부탁드립니다. @ 아주 그 누므자식을 가라마시고 싶슴미다. |