Re: 속속편 - 해킹시도- 재발

News, Internal, Projects, Home
Software, Support, Documentation

Re: 속속편 - 해킹시도- 재발

To: questions@xxxxxxxxxxxxxx
Subject: Re: 속속편 - 해킹시도- 재발
From: Pyun YongHyeon <yongari@xxxxxxxxxxx>
Date: Sat, 5 Oct 2002 12:44:13 +0900
Content-disposition: inline
Content-transfer-encoding: 8bit
Content-type: text/plain; charset=euc-kr
Delivered-to: questions-outgoing@kr.freebsd.org
Delivered-to: questions@kr.freebsd.org
In-reply-to: <000a01c26bf9$57ffb600$0b00a8c0@bruto>
References: <000a01c26bf9$57ffb600$0b00a8c0@bruto>
Reply-to: questions@xxxxxxxxxxxxxx
Sender: owner-questions@xxxxxxxxxxxxxx
User-agent: Mutt/1.5.1i

On Fri, Oct 04, 2002 at 03:56:50PM -0700, sammycom wrote:
 >> 속속편 - 해킹시도-재발
 >> 
 >> 문제되던 FreeBSD서버(66.218.xxx.133)를 다시 ?V업하고나서 일주일간은 모든게 정상적인것 같더니
 >> 똑같은 문제가 다시 게속일어납니다.
 >> 아파치+ssl 문제인것 같아서 httpd를 아예 죽여버리고, named 까지 지워도 마찬가지에요 이 서버만 네트워에 물리면
 >> 다른 나머지의 아이피 컴(66.218.xx.132) 에서도 default gateway(66.218.xx.1) 까지도 인터넷이 나기질 못함니다.
 >> 그리고 로그파일(/var/log/messages)에 다음과 같은 로그가 1초간격으로 쌓입니다.
 >> 로그파일에만 쌓이는게 아니고 콘솔모니터에 게속 나옵니다.
 >> 
 >> Limiging icmp unreach from 204 to 200 packet per second
 >> Limiging icmp unreach from 271to 200 packet per second
 >> Limiging icmp unreach from 231to 200 packet per second
 >> Limiging icmp unreach from 220to 200 packet per second
 >> ...(아이피 번호같은거는 없구요)
 >> 
시스템의 해킹이 의심스럽습니다.
1. ICMP port unreachable code는 UDP로 접속시도시 해당 서버에 서비스가
   없을 경우 접속한 서버에서 생성합니다.
   해킹된 후 rootkit같은 것이 설치되어서 다른 여러 시스템을 검사하고 있을 경우
   발생할 수 있습니다.

2. 이 시스템만 연결하면 다른 시스템도 network이 되지 않는다고 하는것을 보면
   아마도 이 시스템에서 network에 상당한 부하를 주는 일을 하고 있을 수 있습니다.

같은 버젼의 깨끗한시스템과 hash 값을 비교해 보시기 바랍니다.
cksum(1), sum(1)은 효과가 없고 반드시 Cryptographic Hashing을 사용해야 합니다.
대표적인 것으로는 MD5, RIPEMD160 등이 있습니다.
MD5값은 md5(1)나 openssl(1)로 구할 수 있습니다.
최소한 다음의 프로그램에 대해서 모두 검사하고 하나라도 다른것이 있다면
데이타 백업후 시스템을 새로 설치하세요.

ls, ps, ifconfig, md5, openssl, top, netstat,
sockstat, fstat, sshd, inetd, telnetd, syslogd 등 

 >> 
 >> 어느분 조언대로 같은 서브넷(66.218.32.0/19 : 66.218.32.0 - 66.218.63.255) 
 >> 을 사용하는 그 주변동네(또는) 의 바이러스감염된 컴때문에 그럴수도 있는것 같아서 ISP 에 문의, 항의 했지만.
 >> 
 >> ISP 왈 :  진짜로 어느 아이피의 바이러스때문인지 확인할수도 없는 상황에서 로그파일만 갖고서 
 >> ip소유한 사용자 일일이 너네 컴바이러스때문에 같은 지역 다른사용자가 피해본다고  할수도 없고 또 가각 사용자의 바이러스 문제까지 간섭하거나 확인할수있는 문제가 아니라고 만 하니 , 그 또한 일리있는 말이기도 합니다.
 >> 
맞습니다. ISP가 취할 수 있는 조치라는것은 거의 없습니다.
기껏해야 ISP가 관리하는 서버중 문제있는 서버의 분리정도 입니다.
이 마저도 많이 주저하는 편이죠.

 >> 그리고 httpd 로그파일보니까 66.218.xxx.yyy: ....scipt/winnt/cmd.exe 어쩌구 하는 줄이 꼭 같은 서브넷에서
 >> 들어오는것도 있지만 
 >> 24.xxx.xxx.xxx: : ....scipt/winnt/cmd.exe 
 >> 206.xxx.xxx.xx. : ....scipt/winnt/cmd.exe 
 >> ..
 >> 이렇게 전혀 다른 네트워크 주소에서도 들어오더라구요.
 >> 
 >> 이럴때는 어떻게 해야할지 모르겠네요
이건 어느서버에나 있는 정상적인 현상입니다.
인터넷상에서는 바이러스나 웜에 감염된 서버들이 공격대상을 항상 찾고 있거든요.
그리고 해키을 공부(?)하는 초보자들이 공격프로그램을 구해서 시험하기도 합니다.

-- 
============================================================
// Korea Telecom Internet Solutions, Inc.
//   FreeBSD/Linux Professional Consulting/Tech. Support
// 
// Pyun YongHyeon
//
// WWW: http://www.kt-is.co.kr/
// FTP: ftp://ftp.kt-is.co.kr/
//
// TEL: +82-2-364-0400
// FAX: +82-2-364-9119
============================================================
--
Please look and take part in KFUG FAQ: <http://www.kr.freebsd.org/FAQ-kr/>
To Unsubscribe: send mail to majordomo@kr.FreeBSD.org
with "unsubscribe questions" in the BODY of the message

Follow-Ups:
- Re: 속속편 - 해킹시도-재발
  - From: CHOI Junho

참조:
- 속속편 - 해킹시도-재발
  - From: sammycom

이전 글: 속속편 - 해킹시도-재발
다음 글: Re: 포트로 설치한 프로 그램의 새 버젼이 나왔을때, 패치는?
이전 댓글: 속속편 - 해킹시도-재발
다음 댓글: Re: 속속편 - 해킹시도-재발

[ 날짜순 색인 ] [ 댓글순 색인 ] [ 최상위 색인]