[보안] 해킹 추적 과정과 추적 방법

/// 예전에 관리하던 NS13번 서버에서 있었던 사건

2001/6/25

문제 발생 : 2001 년 06월 22 일 08시 43~50분 사이 시스템 정지

        2001 년 06월 23 일 12시 47~53분 사이 시스템 정지

문제 증상 : 재부팅시 LILO 손상

2001 년 06월 23일 09시 30분 부터 시스템 점검에 들어감 ..

/dev 디렉토리에 해킹 관련 파일 발견

——————————————————————

-rw-rw-r–    1 root     root           43 Jun 22 02:55 /dev/hda06

-rwxr-xr-x    1 root     root           93 Jun 20 07:07 /dev/sqq1

-rwxr-xr-x    1 root     root          152 Jun 20 07:07 /dev/sqq2

-rwxr-xr-x    1 root     root           39 Jun 20 07:07 /dev/sqq3

-rw-rw-r–    1 root     root           93 Jun 22 02:55 /dev/ptyx

-rw-rw-r–    1 root     root           62 Jun 22 02:55 /dev/xmx

-rw-rw-r–    1 root     root          219 Jun 22 02:55 /dev/xdta

——————————————————————

/lib/security/.config/ 디렉토리에 해킹 관련 프로그램 및 명령어들

발견

——————————————————————

-rwxrwxr-x    1 root     root         5064 Jun 20 06:54 ava*

drwxrwxr-x    2 root     root         4096 Jun 23 10:58 backup/

drwxrwxr-x    2 root     root         4096 Jun 20 06:54 bin/

-rwxrwxr-x    1 root     root         4032 Jun 20 06:54 cleaner*

-rwxrwxr-x    1 root     root         3648 Jun 20 06:54 crypt*

-rwxrwxr-x    1 root     root         7220 Jun 20 06:54 lpsched*

-rwxrwxr-x    1 root     root          898 Jun 20 06:54 patcher*

-rwxrwxr-x    1 root     root         3180 Jun 20 06:54 pg*

-rw-r–r–    1 root     root       118576 Jun 20 18:57 psy21.tar.gz

drwxr-xr-x    4 root     root         4096 Jun 21 06:04 psybnc/

drwxrwxr-x    2 root     root         4096 Jun 20 06:54 ssh/

-rwxrwxr-x    1 root     root       205288 Jun 20 06:54 sshd*

-rwxrwxr-x    1 root     root         1596 Jun 20 06:54 sz*

drwxrwxrwx    2 root     root         4096 Jun 23 11:02 tt/

-rw-r–r–    1 root     root       148638 Jun 20 07:02 tt.tar.gz

-rw-rw-r–    1 root     root          644 Jun 20 06:54 uconf.inv

-rwxrwxr-x    1 root     root         3052 Jun 20 06:54 utime*

——————————————————————-

먼저 이 파일 생성 시간대을 중점으로 추적해 보았습니다.

/dev 및의 파일들 생성시간은 두개로 나누어 집니다.

20 일 07:07 , 22일 02:55

여기서 22일 02:55 분에 터미널로 접속한 사용자는 newkorea 밖에 없습니다.

————————————————————————

newkorea pts/8        155.210.68.125   Fri Jun 22 02:37 – 05:05  (02:28)

————————————————————————

20일 07:07 분 비슷한 시간대에 접속한 사용자는 두명 ..

daily    pts/3        211.38.33.218    Wed Jun 20 07:06 – 07:09  (00:03)

newkorea pts/2        24.middletown-12 Wed Jun 20 06:37 – 06:59  (00:21)

그리고 /lib/security/.config/ 안의 파일 생성 시간은

20 일 06:54  

20 일 07:02

20 일 18:57

입니다.

newkorea pts/2        24.middletown-12 Wed Jun 20 06:37 – 06:59  (00:21)

ddosoon  pts/13       211.183.188.226  Wed Jun 20 18:24 – 20:32  (02:08)

ddosoon  pts/11       211.183.188.226  Wed Jun 20 17:50 – 19:59  (02:09)

daily    pts/10       211.196.54.99    Wed Jun 20 17:15 – 03:45  (10:29)

이정도의 해킹관련 파일 생성 시간대에 접근한 사용자를 대상으로 체크를 해

았습니다.

문제는 newkorea 에서 발견되었습니다.

newkorea 의 홈디렉토리에서 /lib/security/.config 안에 설치된 프로그램의

소스와 해킹 백도어가 발견되었습니다.

————————————————————————-

drwxrwxr-x    2 newkorea newkorea     4096 Jun 20 06:58  /

drwxr-x—    5 newkorea nobody       4096 Jun 21 06:19 ./

drwx–x–x  364 root     root         8192 Jun 23 10:11 ../

-rw-r–r–    1 newkorea newkorea     1497 Jan  9 14:59 .Xdefaults

-rw——-    1 newkorea newkorea      746 Jun 21 06:29 .bash_history

-rw-r–r–    1 newkorea newkorea       24 Jan  9 14:59 .bash_logout

-rw-r–r–    1 newkorea newkorea      311 Jan  9 14:59 .bash_profile

-rw-r–r–    1 newkorea newkorea      565 Jan  9 14:59 .bashrc  

-rw-r–r–    1 newkorea newkorea     3394 Jan  9 14:59 .screenrc

-rw-r–r–    1 newkorea newkorea   414170 Jun 21 06:18 psy.tar.gz

drwxr-xr-x    4 newkorea newkorea     4096 Jun 23 11:18 psybnc/

drwxr-xr-x    5 newkorea newkorea     4096 Jan  9 14:59 www/

————————————————————————-

여기서 최상위의 / 표시는 커널 2.2.19 이하버젼에서 커널 버그를 이용한

stack 오버플로워 공격으로 보통 사용대는 해킹 프로그램으로 epc 이다.

epc 로 검색하였더니..

[root@ns13 /]# find / -name *epc*

/home/newkorea/ /epc2

/home/newkorea/ /epc2.c

이 나왔습니다.  

이미 계정과 기초적인 보안은 다시 해놓은 상태이고 해킹 프로그램등은

증거상 임시적으로 놓아두었습니다.