컴퓨터와 인터넷

[Security] 53번 포트의 취약성

[ CnUnix ] in KIDS
글 쓴 이(By): backdrum (뒷 북)
날 짜 (Date): 2000년 7월 28일 금요일 오후 01시 34분 06초
제 목(Title): 53번 포트 사용하는 데몬[Q]

리눅스 서버에 named 데몬이 실행이 안되서 혹시나 하고 telnet localhost 53 했더니 연결이 됩니다. ps에는 확실히 named가 없는데도 말입니다. named를 실행해도 이미 53번이 사용중이기 때문에 실행되지 않는 것 같은데 그럼 어떤놈이 53번을 쓰고 있을까요? 요즘 bind를 통한 해킹이 유행이라는데 혹시???? bind-8.2.1-7입니다.

추가로…

ls

하면 다음과 같은 에러 메시지…

ls: unrecognized option `–show-control-chars’
Try `ls –help’ for more information.

/bin/ls

하면 화일들이 나오고요.

조언 부탁합니다.

[ CnUnix ] in KIDS
글 쓴 이(By): Gizmos ( 그림이)
날 짜 (Date): 2000년 7월 28일 금요일 오후 02시 19분 12초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

ls -b

해 보세요.

[ CnUnix ] in KIDS
글 쓴 이(By): cdpark (박종대)
날 짜 (Date): 2000년 7월 28일 금요일 오후 02시 56분 29초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

증상이 이미 해킹당한 컴퓨터로군요. (누군가 ls를 바꿔친…)

data를 백업하고 새로 Linux를 까심이 어떨까요? (최신 버젼으로 깔고, security patch 다 먹이고…)


박..

[ CnUnix ] in KIDS
글 쓴 이(By): backdrum (뒷 북)
날 짜 (Date): 2000년 7월 28일 금요일 오후 03시 10분 50초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

해킹 당한 게 맞는 것 같습니다. /bin/ls의 파일 사이즈가 137507 바이트입니다. 보통은 49844 바이트인데요.

문제는 어떻게 들어왔나 하는 것입니다. 열린 포트는 25, 53, 80, 8080 (뭐~ 다 열려 있네요. ^^;)

sendmail-8.9.3-15kr
bind-8.2.1-7
apache-1.3.9-4kr

입니다. 구멍이 보고된 게 있나요? 안본지 오래되서.. ^^;

[ CnUnix ] in KIDS
글 쓴 이(By): cdpark (박종대)
날 짜 (Date): 2000년 7월 28일 금요일 오후 03시 15분 20초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

어느 배포본 쓰시죠?

[ CnUnix ] in KIDS
글 쓴 이(By): backdrum (뒷 북)
날 짜 (Date): 2000년 7월 28일 금요일 오후 03시 23분 25초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

리플라이가 참 빠르군요 ^^;

알짜 6.1을 기본으로 해서 커널을 2.2.14-5.0으로 올리고 그외 그래픽 드라이버 조금 변경하고…. 네트워크에 관련된건 거의 변경없습니다. ipchains-1.3.9 로 위의 포트 이외것은 deny시켜 놓구요.

[ CnUnix ] in KIDS
글 쓴 이(By): cdpark (박종대)
날 짜 (Date): 2000년 7월 28일 금요일 오후 03시 58분 44초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

Redhat 6.1의 bind에 security hole이 있습니다.
http://www.redhat.com/support/errata/RHSA1999054-01.html

이걸 기반으로 한 알짜에도 물론 있겠죠?

Redhat 6.1의 security hole은 꽤 많습니다. –;
http://www.redhat.com/support/errata/rh61-errata-security.html

Redhat 6.2 기반의 배포판으로 바꾸시는게 정신건강에 좋을 듯… 어쨌거나 한번 뚫린 호스트는 어디에 구멍이나 폭탄(–;)이 숨어 있을 지 알 수 없으니깐요.


박..

[ CnUnix ] in KIDS
글 쓴 이(By): Xorn (Salud!)
날 짜 (Date): 2000년 7월 28일 금요일 오후 04시 23분 28초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

network에서 끊고 lsof를 하나 깔아보시죠? 그리고 근처 같은 네트웍을 쓰는 서버들도 점검을 하시고요. 아. 네트웍에서 끊기 전에 어디랑 네트웍이 접속되어 있나 확인해보셔야 되겠네요. 그래야 라우터에서 막든지 할테니까요.

[ CnUnix ] in KIDS
글 쓴 이(By): guest (guest) <203.245.15.3>
날 짜 (Date): 2000년 7월 29일 토요일 오전 12시 41분 02초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

자기 기계가 핵킹 당했는지 아닌지는 어떻게 알 수 있나요? 확인 해 볼 수 있는 방법이 없습니까? 그러니깐 내 기계에 들어와서 아무것도 안 건들이고 들락날락 할 수도 있지 않습니까.

[ CnUnix ] in KIDS
글 쓴 이(By): terzeron (microkid)
날 짜 (Date): 2000년 7월 29일 토요일 오전 11시 31분 55초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

그런 걸 알기 위해서는 어카운팅에 의존하거나 watchdog을 설치하는 수 밖에는 딴 방법이 없겠죠.

어카운팅은 크게 로긴(로그인?) 어카운팅과 프로세스 어카운팅을 말하는데, 누가 접속했었는지 어디서 접속했었는지 언제 빠져 나갔는지가 로긴 어카운팅이 되겠구요. 시스템 내부에서 무슨 프로그램을 실행시켰는지를 기록하는 것을 프로세스 어카운팅이라고 합니다.

접속 로그야 lastlog같은 거나 syslog, messages 등의 로그로 남게되니깐 이것만 잘 신경써서 살펴봐도 웬만한 사실은 짐작할
수 있을 거구요…

보안이 철저하게 요구되는 시스템이라면 프로세스 어카운팅도 고려해 볼 만한데요… 로그가 많이 남게 되고 관리자가 일일이
신경써야 한다는 점이 불편하긴 하겠죠.

[ CnUnix ] in KIDS
글 쓴 이(By): cdpark (박종대)
날 짜 (Date): 2000년 7월 29일 토요일 오후 04시 12분 17초
제 목(Title): Re: 53번 포트 사용하는 데몬[Q]

주요 daemon과 suid된 프로그램, Shell 등에 대한 MD5 checksum만 유지하고 있어도 해커가 들어왔는지는 판단할 수 있죠. (대개 들어와서는 뒷문을 만드는 게 보통이니..)

ls의 에러 메시지는 linux에 따라오는 ls와 해커가 깔아주는(–;) ls의 옵션 차이 때문에 생기는거죠. (script kids의 비애!)


박..

답글 남기기