바이러스가 생겨서 DDos공격을 한다네요

개발서버로 우분트 3.5.0-42-generic을 사용하고 있는데요, 우리 개발서버가 자기네 웹서버를 UDP 패킷
1바이트로 DDos공격을 한다고 메일로 알려왔네요. 해당 업체가 tcpdump로 패킷을 캡처해서 보내 왔네요.
확인해 보니 1초안에 여러번 한바이트 UDP패킷을 송신하고 있더라구요.

예전에도 이런 일이 발생했었다고 하네요. 그때는,
root권한을 외부에서 접속가능하게 해 놓았었다고 했고, 그래서 접속권한을 막고 우분트를 재설치했다고 합니다.

그리고 나서 다시 2개월 후에 다시 발생이 되었네요.

혹시, 이 문제를 해결하거나 원인 등을 진단할 수 있는 방법이 있을까요?

아마도 해킹툴이 존재하는 것 같습니다.

UDP로 공격한다니 방화벽 설정에서 쓰지 않는 포트가 열려 있을 것으로 추측 됩니다.
netstat -an 명령어를 이용하여 이상한 포트가 열려 있는지 검사해 보십시오.

sudo ufw delete allow 1234(포트번호)/udp

위의 명령어를 통해 udp 공격을 원천 봉쇄 하시고
추후 clamav를 설치하셔서 해킹툴이 존재하는 지 여부를 검사해 보십시오.

대충 보면 감이 옵니다만
제가 쓰는 서버가 아니므로 단정하기엔 뭐 하군요!

답변 감사드립니다.

ClamAV를 깔고 업데이트하고 진단을 해 보았는데,

이상이 없네요. ^^
(뭐, 파일을 읽지 못하는 파일들이 좀 있긴 하네요. perrer…)

추가로, 더 작업을 해 봐야겠네요.(다른 툴이 없을려나…)

우분투도 좀비로 활용될 수가 있나보군요.

이와 관련해서 해볼 수 있는 대비책은 어떤 것이 있나요?

방화벽 체크는 해보셨나요?

로그를 보시든지 해서 사용하지 않는 포트가 열린 것을 먼저 체크해 보십시오.
포트만 알면 대충 무엇이 공격의 원인인지 짐작할 수 있습니다.

이런 공격이 가능 하려면 포트를 사용할 수 밖에 없으며
udp를 이용하므로 해당 포트를 막으면 일단 원천 봉쇄는 가능합니다.

봉쇄 전 아래 명령어로 무엇이 포트를 사용하고 있는 지 파악 하십시오.

sudo netstat -ltnp | grep ‘:포트번호’

그럼 공격의 원인은 파악할 수 있습니다.
이후 방화벽으로 차단하시고 소스는 clamav가 못 찾아 낸다고 하시니
직접 일일히 눈으로 찾아 보셔야 되겠죠!

찾아서 수동으로 삭제하시면 됩니다.

예측을 하자면 누군가 실습(?) 한 것으로 생각되어 집니다.
대충 아래와 같은 코드를 가지고 있을 것으로 짐작됩니다.

소스의 위치는 게으른 사람이라면 /etc/init.d, /etc/rc.local, /tmp등에
똑똑한 사람이라면 엄한 위치에 숨겨 놓고 자동 실행(chkconfig, systemctl등) 되게 해 놓지 않았을까 합니다.

악용은 절대 금지입니다.

[code:13779idq]#!/bin/bash

def_host=localhost
def_port=43211

HOST=${2:-$def_host}
PORT=${3:-$def_port}

echo -n "$1" | nc -4u -w1 $HOST $PORT[/code:13779idq]

[quote="loscane":13779idq]우분투도 좀비로 활용될 수가 있나보군요.
이와 관련해서 해볼 수 있는 대비책은 어떤 것이 있나요?[/quote:13779idq]

대비책은 철저한 보안 이외에 무엇이 있겠습니다.