우분투(리눅스)에도 트로이젠이 있나요?

우분투(리눅스)에도 트로이젠이 있나요?

제가 기관의 망을 빌려서 우분투 서버 를 깔아서 공부를 쫌 하고 있습니다.

근데 트로이젠이 걸렸다고 해서 연락이 왔습니다.(??)

아니웬 무슨소리(???) 무슨 유닉스에도 트로이젠이 걸리는구나 생각을 했죠

데몬을 떠보고 이리저리 봐도 CPU를 엄청 먹고 있거나 네트웍 부하도 있지도 않고

처음보는 데몬들도 없고…

방화벽에 clamAV 까지 박아놨고 스캔을 떠봐도 없습니다…

이전에도 이런일 있어서 그쪽에서 새로 밀고 다시 깔아달라고 하더라구요…(뭔 소리??)

그래 해주자 해서 다 해주고 했는데… 또 다시 연락이 왔네요…

이건 무슨일일까요??

계속 그 아이피로는 리포트는 뜬다고 하고… 걍 트래픽 많이 돌때 있어서 그때 보고 뭐라 한거일까요?

진짜 어이가 없더라구요

윈도우쪽에서 서버로 올린 파일들에 문제가 있을 수도 있습니다…
avast였던가에서 리눅스용으로 바이러스 프로그램이 있으니 한번 확인해보십시오…

리눅스 서버에서 윈도우즈쪽 바이러스 프로그램이 돌아가지는 않습니다만…
보균자처럼 될경우도 있으니까요^^…

리눅스에도 trojan이 없을 수는 없죠. 루트 권한으로 trojan을 실행시키면 뚫리겠죠. trojan은 deb이나 rpm에 심어 넣을 수도 있고… 쉘 스크립트 같은 것을 묘하게 이름과 권한을 줘서 넣는 경우도 있고… 혹시 공식 채널인 synaptic이나 software center 말고 직접 rpm이나 deb을 다운받아 설치한 것이 있나요? 아니면 상용 프로그램을 수동으로 깐 것이라든가…

그쪽 제공하는 사람 이야기로는 거기서 웜이 퍼져서 인터넷이 안된다고 그러내요…

따로 deb깐것도 하나도 없고…

솔직히 deb나 그런거 까는거 귀찮아서라도 걍 sudo apt-get …으로 까는것만 계속 씁니다.

추가해준거라곤 webmin이라고 web으로 관리할수 있는것도 저장소(synaptic??)만 지정해줘서 apt-get업데이트 받고 그럽니다.

제 생각에는 ftp같은거 쓸때 트레픽 많이 올라가니까 그러면서 리포트 잡혀서 뭐라할 가능성이 농후한듯 합니다.

완전 범법자 취급하고 더러워서 서버 뺄려구요. 애휴…

어디서 퍼진지는 몰라도
트로이목마를 통해 날라온것 같습니다.
정밀 분석을 해야겠네요 ㅠ.ㅠ

엇 저도 비슷한 얘기가 왔었는데 ㅋ

토렌트 시딩을 돌리니까, 담당자가 좀비된 것 아니냐고 뭐라고 한 적 있었어요.

담당자와 함께 트래픽 로그를 분석해보니 트래픽의 대부분(98%가량)가 토렌트 데몬에 할당한 포트에서 나오더라고요.

결국 "토렌트는 집에서 돌려!!"라고 담당자한테 혼났었음… ㅎㅎㅎㅎ (그래서 집 컴퓨터를 토렌트 서버로 쓰기 시작했습니다;:wink:

담당자한테 구체적으로 어떤 내용이 문제가 되냐고 문의해보세요.

밑도 끝도 없이 트로얀이라고만 하면 찾기가 너무 어려우니까요. 인력과 예산이 넉넉한 것도 아닌데 말이죠.

[quote="nddarkgi":1jjs8pty]어디서 퍼진지는 몰라도
트로이목마를 통해 날라온것 같습니다.
정밀 분석을 해야겠네요 ㅠ.ㅠ[/quote:1jjs8pty]

헉… 수고하세요.

웹서버는 아니지만 저도 집 컴퓨터를 서버로 쓰고 있는데, 해결뒤에 강의 좀 부탁드리겠습니다 ;;

[quote="nddarkgi":1e7vcb0s]그쪽 제공하는 사람 이야기로는 거기서 웜이 퍼져서 인터넷이 안된다고 그러내요…

따로 deb깐것도 하나도 없고…

솔직히 deb나 그런거 까는거 귀찮아서라도 걍 sudo apt-get …으로 까는것만 계속 씁니다.

추가해준거라곤 webmin이라고 web으로 관리할수 있는것도 저장소(synaptic??)만 지정해줘서 apt-get업데이트 받고 그럽니다.

제 생각에는 ftp같은거 쓸때 트레픽 많이 올라가니까 그러면서 리포트 잡혀서 뭐라할 가능성이 농후한듯 합니다.

완전 범법자 취급하고 더러워서 서버 뺄려구요. 애휴…[/quote:1e7vcb0s]

apt-get 만 썼다면 trojan이 들어왔을 가능성은 거의 없다고 봐도 됩니다. 그런데… 그쪽에서 웜이 퍼졌다고 불평한다면 아마 님 서버를 웜 배포지로 생각하고 있을 가능성이 높겠죠. 혹시 IP spoofing 가능성이 있나요? 그렇다면 한번 서버 IP 주소를 바꾸어놓고 어떤 일이 벌어지는지 한번 살펴볼 필요가 있겠죠.

그리고 ftp는 쓰지 마시길. 아무래도 패스워드 노출 가능성이 있으니까요. 또 sftp 쓰는게 22번 포트만 쓰면 되니 방화벽 세팅 하기도 편하고…

일단은 보안에 유의하면서 서버를 새로 깔고 가능하다면 IP 주소를 바꾸어 서버를 재기동해보는게 어떨까 싶네요.