Will be Prosumer's Revolution and Technical Revolution in the Future!
Linux User/Developer is also Windows User/Developer... Cross Platform Engineer...
"21C 공학인을 대통령, 국회의원으로 만들자!" "더욱 더 많은 동지분들이 공학제국 건설에 동참할 수 있도록 널리 알려주세요~" [ F = m * a ]
과학기술/공학인이 대한민국 국회 의석의 50% 이상을 확보하는 그날을 위하여~ ^___^
하드가 심하게 버벅거려 top을 해보니 makewhatis가 실행되고 있었습니다.. makewhatis는 루트만이 실행시킬 수 있다던데... 루트로 로그인 되어있을 때 시스템이 실행도 가능한 것인지요..? 이거 머야 하면서 kill시켰습니다. awk인가 하는 것도 같이 떠있더라구요. 누가 들어왔었나 로그를 확인했습니다.
/var/log/secure와 /var/log/messages...
로그는 초기화상태였습니다. secure.1과 messages.1의 마지막 라인이 지금 컴퓨터를 만지는 시각과 얼마 차이가 없었기에. 로그로테이트에 의해 자동으로 초기화 된것 같기도 하고. 잘은 모르겠지만 불안한 마음에 chkrootkit을 돌렸습니다. not infected... 를 보며 안심했으나 혹시나 하는 마음에 rkhunter를 다운받아서 설치. rkhunter --check 옵션을 주고 실행해보니 변경된 파일이 여러개 있다고 나옵니다. 로그를 첨부하였는데 좀 봐주시면 안될까요?
immutable된 것은 제가 리눅스 설치 후 몇몇 파일에 i 속성을 준 부분입니다. 서버는 192.168.10.100로 공유기 물려서 쓰고 있구요. 아래는 netstat -an의 결과입니다. Foreign Address에 알수 없는 IP가 하나 올라와 있는데요. 211.233.75.76:80입니다. 제 나름대로 해석하기론 211.233.75.76의 IP를 가진 사용자가 80번 포트를 이용하여 제 서버의 45322에 접근한 것 같은데 백도어가 심어진게 아닌지...
이거 해킹당한 것일까요? replaced된 부분이 몇 개 보이네요. 특히get이 GET으로 대문자인게 마음에 걸리구요. , group, ldd, whatis 등... replaced된 부분은 파일만 교체할 수 있는 방법이 있는지요... 이경우 다시 까는 것 밖에 방법이 없는지...궁금합니다.^^;;
[20:15:11] /usr/bin/curl [ OK ] [20:15:12] /usr/bin/cut [ OK ] [20:15:12] /usr/bin/diff [ OK ] [20:15:12] /usr/bin/dirname [ OK ] [20:15:12] /usr/bin/du [ OK ] [20:15:13] /usr/bin/elinks [ OK ] [20:15:13] /usr/bin/env [ OK ] [20:15:13] /usr/bin/file [ OK ] [20:15:13] /usr/bin/find [ OK ] [20:15:14] /usr/bin/GET [ Warning ] [20:15:14] Warning: The command '/usr/bin/GET' has been replaced by a script: /usr/bin/GET: perl script text executable [20:15:14] /usr/bin/groups [ Warning ] [20:15:14] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable [20:15:14] /usr/bin/head [ OK ] [20:15:15] /usr/bin/id [ OK ] [20:15:15] /usr/bin/kill [ OK ] [20:15:15] /usr/bin/killall [ OK ] [20:15:15] /usr/bin/last [ OK ] [20:15:15] /usr/bin/lastlog [ OK ] [20:15:16] /usr/bin/ldd [ Warning ] [20:15:16] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne shell script text executable [20:15:16] /usr/bin/less [ OK ] [20:15:16] /usr/bin/links [ OK ] [20:15:17] /usr/bin/locate [ OK ] [20:15:17] /usr/bin/logger [ OK ] [20:15:17] /usr/bin/lsattr [ OK ] [20:15:17] /usr/bin/lynx [ OK ] [20:15:18] /usr/bin/md5sum [ OK ] [20:15:18] /usr/bin/newgrp [ OK ] [20:15:18] /usr/bin/passwd [ OK ] [20:15:18] /usr/bin/perl [ OK ] [20:15:19] /usr/bin/pstree [ OK ] [20:15:19] /usr/bin/readlink [ OK ] [20:15:19] /usr/bin/rkhunter [ OK ] [20:15:19] /usr/bin/runcon [ OK ] [20:15:19] /usr/bin/sha1sum [ OK ] [20:15:20] /usr/bin/size [ OK ] [20:15:20] /usr/bin/stat [ OK ] [20:15:20] /usr/bin/strace [ OK ] [20:15:20] /usr/bin/strings [ OK ] [20:15:21] /usr/bin/sudo [ OK ] [20:15:21] /usr/bin/tail [ OK ] [20:15:21] /usr/bin/test [ OK ] [20:15:21] /usr/bin/top [ Warning ] [20:15:22] Warning: File '/usr/bin/top' has the immutable-bit set. [20:15:22] /usr/bin/tr [ OK ] [20:15:22] /usr/bin/uniq [ OK ] [20:15:22] /usr/bin/users [ OK ] [20:15:23] /usr/bin/vmstat [ OK ] [20:15:23] /usr/bin/w [ OK ] [20:15:23] /usr/bin/watch [ OK ] [20:15:23] /usr/bin/wc [ OK ] [20:15:24] /usr/bin/wget [ OK ] [20:15:24] /usr/bin/whatis [ Warning ] [20:15:24] Warning: The command '/usr/bin/whatis' has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable [20:15:24] /usr/bin/whereis [ OK ] [20:15:24] /usr/bin/which [ OK ] [20:15:25] /usr/bin/who [ OK ] [20:15:25] /usr/bin/whoami [ OK ] [20:15:25] /usr/bin/gawk [ OK ] [20:15:25] /sbin/chkconfig [ OK ] [20:15:26] /sbin/depmod [ OK ] [20:15:26] /sbin/fuser [ OK ] [20:15:26] /sbin/ifconfig [ OK ] [20:15:26] /sbin/ifdown [ Warning ] [20:15:26] Warning: The command '/sbin/ifdown' has been replaced by a script: /sbin/ifdown: Bourne-Again shell script text executable [20:15:27] /sbin/ifup [ Warning ] [20:15:27] Warning: The command '/sbin/ifup' has been replaced by a script: /sbin/ifup: Bourne-Again shell script text executable [20:15:27] /sbin/init [ OK ] [20:15:27] /sbin/insmod [ OK ] [20:15:27] /sbin/ip [ OK ] [20:15:28] /sbin/kudzu [ OK ] [20:15:28] /sbin/lsmod [ OK ] [20:15:28] /sbin/modinfo [ OK ] [20:15:29] /sbin/modprobe [ OK ] [20:15:29] /sbin/nologin [ OK ] [20:15:29] /sbin/rmmod [ OK ] [20:15:29] /sbin/runlevel [ OK ] [20:15:29] /sbin/sulogin [ OK ] [20:15:30] /sbin/sysctl [ OK ] [20:15:30] /sbin/syslogd [ OK ] [20:15:30] /usr/sbin/adduser [ Warning ] [20:15:30] Warning: File '/usr/sbin/adduser' has the immutable-bit set. [20:15:31] /usr/sbin/chroot [ OK ] [20:15:31] /usr/sbin/groupadd [ OK ] [20:15:31] /usr/sbin/groupdel [ OK ] [20:15:31] /usr/sbin/groupmod [ OK ] [20:15:32] /usr/sbin/grpck [ OK ] [20:15:32] /usr/sbin/kudzu [ OK ] [20:15:32] /usr/sbin/lsof [ OK ] [20:15:32] /usr/sbin/prelink [ OK ] [20:15:33] /usr/sbin/pwck [ OK ] [20:15:33] /usr/sbin/sestatus [ OK ] [20:15:33] /usr/sbin/tcpd [ OK ] [20:15:33] /usr/sbin/useradd [ Warning ] [20:15:34] Warning: File '/usr/sbin/useradd' has the immutable-bit set. [20:15:34] /usr/sbin/userdel [ Warning ] [20:15:34] Warning: File '/usr/sbin/userdel' has the immutable-bit set. [20:15:34] /usr/sbin/usermod [ Warning ] [20:15:34] Warning: File '/usr/sbin/usermod' has the immutable-bit set. [20:15:34] /usr/sbin/vipw [ OK ] [20:15:35] /usr/sbin/xinetd [ OK ] [20:15:35] [20:15:35] Checking for rootkits... [20:15:35] Info: Starting test name 'rootkits'
한국LUG 사이트는 1024 x 768 해상도(운영자 노트북:14")에 최적화 되어 있습니다. : LINUX FANSITE
WWW.LUG.OR.KR Server is made by CentOS Linux, P4 1.8G, Memory 512MB, Main HDD 160GB, Backup HDD 40GB and LAMP, qmail MTA.
CentOS Linux & Mozilla Firefox UTF-8 Base Created.
1998-2025 www.lug.or.kr Directed By Great Dragon, Kim.
Top
LUG 포인트 정책 : [회원가입 : +100점] [로그인(하루한번) : +100점] [글쓰기 : +20점] [코멘트 : +10점] [다운로드 : -200점] [질문 포인트 : 최소 200점]
데스크탑 프로그래밍(gcc, g++, wxGTK[wxWidgets] 등)은 "Fedora"를 사용하고, 서버 운영(WEB, FTP 등)은 "CentOS"를 사용하시길 권장합니다.
도전하는자, 자신을 투자하는자만이 뜻하는바를 이룰 수 있다.
Information should be Exchanged with Interactive, not One Way Direction. 준회원,
정회원,
우수회원,
VIP회원,
기업회원,
관리자 Be Maker!
인생에서, 100% 순이익을 보장하는건 없다. 1%의 지식을 나눔으로써, 가끔씩 손해볼 필요도 있다.
그대가 가진 1%의 지식만이라도 공공을 위해 포스팅하라. 손해본다는 생각이 앞선다면 그대의 인생은 힘들어질것이다.
자신이 가진 지식의 1%도 투자하지 않고, 오로지 자신의 이익만 탐하는자와는 동지가 되지마라.
만나서 대화하면 모두 좋은 사람들이지만, 유독 인터넷에서만 자신을 밝히지 않고, 좀비로 서식하는 사람들이 많다.
부지불식간[不知不識間], 좀비(하류) 인생이 될지도 모르니, 항상 자신을 경계하도록 하라.
[도서 안내]
1. CentOS Linux
2. gcc로 공부하는 C++
베스트셀러 입성^^
한국리눅스유저그룹 - LUG KOREA
준회원,
정회원,
우수회원,
VIP회원,
기업회원,
관리자
