Introduction
작년 12월 말에 홈서버에 해킹 피해를 입은 것을 인지했는데, 귀찮아서 비밀번호만 바꾸고 ssh 서버를 닫아버린 채로 거의 10개월이 흘렀다. 너무 방치하기는 그렇고 베스트는 포맷인데 일이 그러면 너무 커진다. 대충 복구를 좀 하고 Ubuntu 24.04 LTS가 나오면 그때 전체 포맷을 진행할 예정.
Procedure
변조된 시스템 바이너리 복구
/usr/bin 내에서 의심이 가는 변조 파일 목록들은 다음과 같다.
-rwxr-xr-x 1 root root 3.4K Dec 25 2022 unhide-tcp
-rwxr-xr-x 1 root root 3.4K Dec 25 2022 unhide-posix
-rwxr-xr-x 1 root root 3.4K Dec 25 2022 unhide_rb
-rwxr-xr-x 1 root root 4.2K Dec 20 2022 unhide
lrwxrwxrwx 1 root root 9 Dec 20 2022 insmod -> /bin/kmod
-rwxr-xr-x 1 root root 73 Dec 20 2022 chattr
-rwxr-xr-x 1 root root 282 Dec 20 2022 lsattr
-rwxr-xr-x 1 root root 15K Jun 2 2022 e2
-rwxr-xr-x 1 root root 15K Jun 2 2022 time-date
진짜 lsattr은 time-date로 바꿔두고 가짜를 만들어 놓았다. 진짜 chattr 역시 e2로 숨겨두었다. insmod는 뭔지 잘 모르겠다. 저 unhide들은 뭔지…?
/usr/sbin 내에서 의심이 가는 변조 파일 목록들은 다음과 같다.
-rwxr-xr-x 1 root root 4.2K Dec 20 2022 global-date
가짜 unhide를 갖다 놓고 진짜는 global-date로 바꿔둔 듯 하다.
삭제한 정체 불명의 파일들 목록
/usr/local/games/.cache/tmp/.cache/tmp/.lock/tmp/.XIM-unix/root/.local/share/nano(해커가 나노 에디터를 사용한다는 뜻?)
unhide로 숨겨진 프로세스 있는지 확인
$ unhide -m -d sys procall brute reverse
실행 결과 별다른 이상은 찾지 못했음.
chkrootkit 백도어 점검
http://www.chkrootkit.org/ 에서 다운받아서 실행:
$ wget ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
$ tar -xf chkrootkit.tar.gz
cd chkrootkit-0.58b
./chkrootkit
...
Searching for suspicious files and dirs, it may take a while...
/usr/lib/debug/.build-id /usr/lib/python3/dist-packages/matplotlib/tests/baseline_images/.keep /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/modules/5.4.0-137-generic/vdso/.build-id /usr/lib/modules/5.4.0-162-generic/vdso/.build-id
/usr/lib/debug/.build-id /usr/lib/modules/5.4.0-137-generic/vdso/.build-id /usr/lib/modules/5.4.0-162-generic/vdso/.build-id
...
의심되는 파일을 찾았다고는 하나 확인 결과 잘 모르겠음. rkhunter도 해봤는데 심각한 위협은 없는듯.
0개의 댓글