[보안] 크래킹 시도에 대한 점검법

오늘오전 5시 아래와 같은 메일이 통보.

#################################################################

www47 Server 에 Unknown Port 가 Scan 되었습니다.

이전 포트와 현재의 열린 포트를 점검하시기 바랍니다.

특정포트의 사용현황은 lsof -i 명령어로 알 수 있습니다.

■이전 scan 시 열린 포트 상황

21 22 23 25 80 110 587 1234 3306 4321 7459 7766 8080 10101 12345

54321

==================================

■현재 scan 시 열린 포트 상황

21 22 23 25 80 110 587 1234 3306 4321 7459 7766 8080 10101 12345

31337 54321

###################################################################

===> 31337 번 포트가 열린것 확인.

www47 서버로 로그인후

lsof -i|grep 31337

nobody 23692 0.0 0.0 1080 300 ? S 09:08 0:00 ./b 라는 프로세스 확인.

==> php 파일 업로딩을 이용한 port binding 수법임을 예상할 수 있음.

[root@www47 root] ps aux

root 23637 0.0 0.1 1740 996 pts/1 S 09:08 0:00 -bash

nobody 23692 0.0 0.0 1080 300 ? S 09:08 0:00 ./b

nobody 24546 0.1 0.5 5428 2996 ? S 09:13 0:00 /www/bin/httpd

nobody 24551 0.0 0.4 5348 2560 ? S 09:13 0:00 /www/bin/httpd

Process ID 가 23692 임을 확인.

[root@www47 /root]# ls -la /proc/23692/

합계 0

dr-xr-xr-x 3 nobody nobody 0 4월 10 09:15 ./

dr-xr-xr-x 156 root root 0 4월 8 00:11 ../

-r–r–r– 1 nobody nobody 0 4월 10 09:15 cmdline

-r–r–r– 1 nobody nobody 0 4월 10 09:15 cpu

lrwx—— 1 nobody nobody 0 4월 10 09:15 cwd –

> /home2/antonios/public_html/cgi/technote/board/match/upfile/

-r——– 1 nobody nobody 0 4월 10 09:15 environ

lrwx—— 1 nobody nobody 0 4월 10 09:15 exe –

> /home2/antonios/public_html/cgi/technote/board/match/upfile/b

(deleted)

dr-x—— 2 nobody nobody 0 4월 10 09:15 fd/

pr–r–r– 1 nobody nobody 0 4월 10 09:15 maps|

-rw——- 1 nobody nobody 0 4월 10 09:15 mem

lrwx—— 1 nobody nobody 0 4월 10 09:15 root -> //

-r–r–r– 1 nobody nobody 0 4월 10 09:15 stat

-r–r–r– 1 nobody nobody 0 4월 10 09:15 statm

-r–r–r– 1 nobody nobody 0 4월 10 09:15 status

위 b 라는 실행파일은 위와 같이

/home2/antonios/public_html/cgi/technote/board/match/upfile/b

(deleted)

임을 확인하였으며 메시지와 같이 deleted 되었음을 확인.

antinios 의 웹로그가 설정되었을 경우에는 웹로그를 분석하여

침입자의 명령어를 파악할수 있었을텐데, 아쉽게도 로그설정이 되지

않아 더이상의 정보는 얻기 어려움.

/etc/hosts.deny 에 31337 번 포트에 대한 정의를 하여

위 포트로 접속시 접속을 차단하고 secure at tt.co.kr 로 메일

발송되도록

조처함.

참고하시기 바랍니다.

서진우

슈퍼컴퓨팅 전문 기업 클루닉스/ 상무(기술이사)/ 정보시스템감리사/ 시스존 블로그 운영자

You may also like...

페이스북/트위트/구글 계정으로 댓글 가능합니다.