[긴급] http://event.perl.kr/ 이 해킹당했습니다!
21 views
Skip to first unread message
verve
Sep 22, 2008, 1:50:21 AM9/22/08
to PerlMania Study
큰일났네요.
http://event.perl.kr/ 이 해킹당했습니다!
linuXploit_crew라는 해킹 그룹의 소행인 것으로 보입니다.
pung96님! 조치를 취해주세요~ㅠ.ㅠ
기타 펄덕서버에 계정있으신분들은 암호 변경하시길 바랍니다.
http://event.perl.kr/ 이 해킹당했습니다!
linuXploit_crew라는 해킹 그룹의 소행인 것으로 보입니다.
pung96님! 조치를 취해주세요~ㅠ.ㅠ
기타 펄덕서버에 계정있으신분들은 암호 변경하시길 바랍니다.
Kang
Sep 22, 2008, 2:09:37 AM9/22/08
to perlman...@googlegroups.com
일단 doc.perl.kr은 페이지는 수정한 것 같지 않고
event.perl.kr
과 제 블로그인
aero.dnip.net/blog
만 메인페이지를 수정한 것 같네요.
rkhunter, chkrootkit 돌려보니 알려진 백도어를 숨겨놓은 것 같지는 않습니다.
일단 sshd에서 root로 로긴하는 기능을 막고 sshd 재시작 해놨습니다.
authlog보면 brute force 공격로그가 많이 남는 것으로 봐서 특정 ip에서 로그인 실패가 많이 나면
막는 기능을 넣는게 좋을 듯 합니다.
event.perl.kr
과 제 블로그인
aero.dnip.net/blog
만 메인페이지를 수정한 것 같네요.
rkhunter, chkrootkit 돌려보니 알려진 백도어를 숨겨놓은 것 같지는 않습니다.
일단 sshd에서 root로 로긴하는 기능을 막고 sshd 재시작 해놨습니다.
authlog보면 brute force 공격로그가 많이 남는 것으로 봐서 특정 ip에서 로그인 실패가 많이 나면
막는 기능을 넣는게 좋을 듯 합니다.
2008년 9월 22일 (월) 오후 2:50, verve <deepb...@gmail.com>님의 말:
pung96
Sep 22, 2008, 2:19:11 AM9/22/08
to perlman...@googlegroups.com
헙,, 이런,,
해킹문제에 경험이 별로 없다보니,, 어찌 해야할 지 잘 모르겠네요, 그냥 재설치 해버릴까요?
해킹문제에 경험이 별로 없다보니,, 어찌 해야할 지 잘 모르겠네요, 그냥 재설치 해버릴까요?
Beomsu Chang
email : bsc...@phya.yonsei.ac.kr // pun...@gmail.com
office : #319 Science Buld. Yonsei Univ. Seoul Korea
2008/9/22 Kang <chah...@gmail.com>:
Kang
Sep 22, 2008, 2:29:12 AM9/22/08
to perlman...@googlegroups.com
저희 회사 보안팀 사람들에게 물어보니 일단 수정된 index 파일들 권한이 www-data 그대로인걸로 봐서
계정해킹이 아니고 웹의 취약점을 통해서 수정한 것으로 보인다네요.
일단 사용하는 wiki나 블로그등 최신버젼이 나왔으면 업데이트 하는게 좋을 듯 합니다.
kpw2008 페이지에도 취약한데가 없는지 확인 해야 할 듯..
ps: pung96님 IRC좀 들오세여~
계정해킹이 아니고 웹의 취약점을 통해서 수정한 것으로 보인다네요.
일단 사용하는 wiki나 블로그등 최신버젼이 나왔으면 업데이트 하는게 좋을 듯 합니다.
kpw2008 페이지에도 취약한데가 없는지 확인 해야 할 듯..
ps: pung96님 IRC좀 들오세여~
2008년 9월 22일 (월) 오후 3:19, pung96 <pun...@gmail.com>님의 말:
Kang
Sep 22, 2008, 3:41:01 AM9/22/08
to perlman...@googlegroups.com
해킹당한 경로를 알아냈습니다.
일단 Twiki의 보안상 취약점을 통해서 뚫었고 그것을 이용해서 특정 파일을 다운로드하여
실행해서 remote에서 www-data 권한을 얻는 쉘을 실행하고 www-data로 접근 가능한 여러 페이지들을
수정한 것으로 보입니다.
일단 해킹에 사용된 파일들과 설명들은
root계정 홈 hacked_report 디렉토리에 모아놨습니다.
최우선 적으로 doc.perl.kr의 Twiki가 최신 버젼이 나왔다면 업그레이드 하고
보안패치가 적용된 버젼이 없다면 hacked_report내에 hacked_log2.txt 로 접근한 URL이
동작하지 않도록 해놓을 필요가 있을 듯 합니다. 모양새로 봐서는 perl의 2 parameter open함수의
취약점을 이용한 듯하니 해당 부분 소스를 보고 수정해도 될 것 같고요.
이 서버를 통해서 다른 서버에 무슨 해꼬지를 했을 수도 있으니 일단 해킹에 사용된 파일은 모아놨고
추가로 혹시나 모를 책임소재를 따질 때 필요할지 모르니 해킹된 페이지의 스크린샷을 저장해놓는게
좋겠네요.
일단 Twiki의 보안상 취약점을 통해서 뚫었고 그것을 이용해서 특정 파일을 다운로드하여
실행해서 remote에서 www-data 권한을 얻는 쉘을 실행하고 www-data로 접근 가능한 여러 페이지들을
수정한 것으로 보입니다.
일단 해킹에 사용된 파일들과 설명들은
root계정 홈 hacked_report 디렉토리에 모아놨습니다.
최우선 적으로 doc.perl.kr의 Twiki가 최신 버젼이 나왔다면 업그레이드 하고
보안패치가 적용된 버젼이 없다면 hacked_report내에 hacked_log2.txt 로 접근한 URL이
동작하지 않도록 해놓을 필요가 있을 듯 합니다. 모양새로 봐서는 perl의 2 parameter open함수의
취약점을 이용한 듯하니 해당 부분 소스를 보고 수정해도 될 것 같고요.
이 서버를 통해서 다른 서버에 무슨 해꼬지를 했을 수도 있으니 일단 해킹에 사용된 파일은 모아놨고
추가로 혹시나 모를 책임소재를 따질 때 필요할지 모르니 해킹된 페이지의 스크린샷을 저장해놓는게
좋겠네요.
2008년 9월 22일 (월) 오후 3:29, Kang <chah...@gmail.com>님의 말:
Kang
Sep 22, 2008, 4:02:01 AM9/22/08
to perlman...@googlegroups.com
일단 문제가 되는 부분만 최신 버젼에서 따와서 변경해놨습니다.
pung96님 확인해주세요.
pung96님 확인해주세요.
2008년 9월 22일 (월) 오후 4:41, Kang <chah...@gmail.com>님의 말:
Reply all
Reply to author
Forward
0 new messages