제로보드 보안 취약성 때문에 Eggdrop 이 설치 되었을 때
리눅스/해킹10년 된 리눅스 서버가 해킹을 당해서 루트킷 설치까지 되어 버렸는 지라...
워낙 오래된 녀석이라...해결 방안이 막막해서
CentOS 5.2 로 다시 설치
운영하고 2주 정도 지나니 다시 해킹당해 버렸다는...
다행이 OS 자체의 보안까지 뚫린 건 아니어서...
증상은 /tmp 에 cmdtemp 파일이 만들어 지고 perl 스크립트가 계속 실행이 되는 증상
일단 제로보드 보안 취약성 패치를 찾아서 lib.php 를 비롯 취약성을 패치 하고
아래 명령으로 변경된 파일을 찾아 보았다.
find . -name "__zbSessionTMP" -prune -o -name "*.php" -exec egrep 'cmdtemp' -l {} \;
찾아 보니 제로보드의 결함을 뚫고 view_list_main.php 라는 파일을 만들고
이 파일을 호출하면 이 파일이 /tmp/cmdtemp 를 만들어
perl 스크립트를 실행하는 구조로 되어 있었음..
일단 위 파일도 지우고 로그에서 위 파일을 호출하는 IP대역을 막아서 더 이상 접근 불가능하게 처리
IP를 찾아 보니 인도네시아 여서 아예 범위로 차단하기 위해서
/etc/sysconfig/iptables 파일에 아래 라인 차단
-A INPUT -p all -m iprange --src-range 114.58.0.0-114.58.255.255 -j DROP
이제 안심해도 되려는 지....