[보안] 해킹 추적 과정과 추적 방법
/// 예전에 관리하던 NS13번 서버에서 있었던 사건
2001/6/25
문제 발생 : 2001 년 06월 22 일 08시 43~50분 사이 시스템 정지
2001 년 06월 23 일 12시 47~53분 사이 시스템 정지
문제 증상 : 재부팅시 LILO 손상
2001 년 06월 23일 09시 30분 부터 시스템 점검에 들어감 ..
/dev 디렉토리에 해킹 관련 파일 발견
——————————————————————
-rw-rw-r– 1 root root 43 Jun 22 02:55 /dev/hda06
-rwxr-xr-x 1 root root 93 Jun 20 07:07 /dev/sqq1
-rwxr-xr-x 1 root root 152 Jun 20 07:07 /dev/sqq2
-rwxr-xr-x 1 root root 39 Jun 20 07:07 /dev/sqq3
-rw-rw-r– 1 root root 93 Jun 22 02:55 /dev/ptyx
-rw-rw-r– 1 root root 62 Jun 22 02:55 /dev/xmx
-rw-rw-r– 1 root root 219 Jun 22 02:55 /dev/xdta
——————————————————————
/lib/security/.config/ 디렉토리에 해킹 관련 프로그램 및 명령어들
발견
——————————————————————
-rwxrwxr-x 1 root root 5064 Jun 20 06:54 ava*
drwxrwxr-x 2 root root 4096 Jun 23 10:58 backup/
drwxrwxr-x 2 root root 4096 Jun 20 06:54 bin/
-rwxrwxr-x 1 root root 4032 Jun 20 06:54 cleaner*
-rwxrwxr-x 1 root root 3648 Jun 20 06:54 crypt*
-rwxrwxr-x 1 root root 7220 Jun 20 06:54 lpsched*
-rwxrwxr-x 1 root root 898 Jun 20 06:54 patcher*
-rwxrwxr-x 1 root root 3180 Jun 20 06:54 pg*
-rw-r–r– 1 root root 118576 Jun 20 18:57 psy21.tar.gz
drwxr-xr-x 4 root root 4096 Jun 21 06:04 psybnc/
drwxrwxr-x 2 root root 4096 Jun 20 06:54 ssh/
-rwxrwxr-x 1 root root 205288 Jun 20 06:54 sshd*
-rwxrwxr-x 1 root root 1596 Jun 20 06:54 sz*
drwxrwxrwx 2 root root 4096 Jun 23 11:02 tt/
-rw-r–r– 1 root root 148638 Jun 20 07:02 tt.tar.gz
-rw-rw-r– 1 root root 644 Jun 20 06:54 uconf.inv
-rwxrwxr-x 1 root root 3052 Jun 20 06:54 utime*
——————————————————————-
먼저 이 파일 생성 시간대을 중점으로 추적해 보았습니다.
/dev 및의 파일들 생성시간은 두개로 나누어 집니다.
20 일 07:07 , 22일 02:55
여기서 22일 02:55 분에 터미널로 접속한 사용자는 newkorea 밖에 없습니다.
————————————————————————
newkorea pts/8 155.210.68.125 Fri Jun 22 02:37 – 05:05 (02:28)
————————————————————————
20일 07:07 분 비슷한 시간대에 접속한 사용자는 두명 ..
daily pts/3 211.38.33.218 Wed Jun 20 07:06 – 07:09 (00:03)
newkorea pts/2 24.middletown-12 Wed Jun 20 06:37 – 06:59 (00:21)
그리고 /lib/security/.config/ 안의 파일 생성 시간은
20 일 06:54
20 일 07:02
20 일 18:57
입니다.
newkorea pts/2 24.middletown-12 Wed Jun 20 06:37 – 06:59 (00:21)
ddosoon pts/13 211.183.188.226 Wed Jun 20 18:24 – 20:32 (02:08)
ddosoon pts/11 211.183.188.226 Wed Jun 20 17:50 – 19:59 (02:09)
daily pts/10 211.196.54.99 Wed Jun 20 17:15 – 03:45 (10:29)
이정도의 해킹관련 파일 생성 시간대에 접근한 사용자를 대상으로 체크를 해
았습니다.
문제는 newkorea 에서 발견되었습니다.
newkorea 의 홈디렉토리에서 /lib/security/.config 안에 설치된 프로그램의
소스와 해킹 백도어가 발견되었습니다.
————————————————————————-
drwxrwxr-x 2 newkorea newkorea 4096 Jun 20 06:58 /
drwxr-x— 5 newkorea nobody 4096 Jun 21 06:19 ./
drwx–x–x 364 root root 8192 Jun 23 10:11 ../
-rw-r–r– 1 newkorea newkorea 1497 Jan 9 14:59 .Xdefaults
-rw——- 1 newkorea newkorea 746 Jun 21 06:29 .bash_history
-rw-r–r– 1 newkorea newkorea 24 Jan 9 14:59 .bash_logout
-rw-r–r– 1 newkorea newkorea 311 Jan 9 14:59 .bash_profile
-rw-r–r– 1 newkorea newkorea 565 Jan 9 14:59 .bashrc
-rw-r–r– 1 newkorea newkorea 3394 Jan 9 14:59 .screenrc
-rw-r–r– 1 newkorea newkorea 414170 Jun 21 06:18 psy.tar.gz
drwxr-xr-x 4 newkorea newkorea 4096 Jun 23 11:18 psybnc/
drwxr-xr-x 5 newkorea newkorea 4096 Jan 9 14:59 www/
————————————————————————-
여기서 최상위의 / 표시는 커널 2.2.19 이하버젼에서 커널 버그를 이용한
stack 오버플로워 공격으로 보통 사용대는 해킹 프로그램으로 epc 이다.
epc 로 검색하였더니..
[root@ns13 /]# find / -name *epc*
/home/newkorea/ /epc2
/home/newkorea/ /epc2.c
이 나왔습니다.
이미 계정과 기초적인 보안은 다시 해놓은 상태이고 해킹 프로그램등은
증거상 임시적으로 놓아두었습니다.