최근 지인들의 홈피를 몇개 탑재하여 운영하고 있는 서버에 이상이 생겨 점검하던중 서버내 많은 파일들의 끝에 ://www.ro521.com/test.htm 을 포함한 iframe을 볼수 있었다.
해당페이지는 이미 조치가 된듯하나 악성코드을 배포하는 사이트(공격당해 변형된듯)였던것 같다.
1. 증상
본문, 사진 등이 깨져 보인다. 사이트를 열면 실시간 감시 백신이 벌레를 잡았다고 알린다.
2. 조치
1) 제로보드 관리자 테이블의 헤더, 풋터에 위 문장이 포함된 내용을 제거한다.
2) 사이트 전체를 뒤져서 변형된 파일을 원위치 한다.
참고로 쉘에서
#grep -r “http://www.ro521.com/test. htm” /home/* 하면 모두 찾는다.
3) 혹시나 다른 루트킷이 있는지 찾아 본다. (있었다 !!)
루트킷은 데이터가 보관되는 폴더에 실행파일 형식이다보니 라이브러리 참조문자열( ld-linux.so)을 패턴으로 걸러낼 수 있었다.
grep -r ld-linux.so /home/bbs4p19/*
grep -r ld-linux.so /home/web/kck/*
grep -r ld-linux.so /home/bear/*
grep -r ld-linux.so /home/web/metalwoo/board/*
4) 스케줄, 데몬등에 다른 변형이 없는지 뒤져 본다. (있었다.)
심어둔 루트킷을 업데이트 하는 내용이 있었고 지웠다.
5) 제로보드 세션파일을 일정주기로 지워야겠다. (cron에 등록했다)
find /home -name sess_* -mtime +1 -exec rm -f {} \;
3. 정리하며
시스템을 분석결과 1월 2일 ~ 6일 사이에 변형이 이루어졌고 1월 말에 발견하여 네트워크를 차단하였으며 인터넷 서치결과 작년 11,12월에 광범위한 공격에 많은 사이트가 피해를 입었던것 같다.
알려진 취약점을 재빨리 반영해야 하지만, 한동안 게으름 피운 죄로 일주이상 서버가 정지했고, 완벽한 복구까지 이틀이상 밤샘 고생했다.
개편을 마음대로 할 수 없는 동호회와 기타 홈피 몇개는 그대로 복구하고 내것은 이참에 워드프레스로 옮겼다. 언제 다시 구성하고 내용(data)을 채울까…..