Introduction

작년 12월 말에 홈서버에 해킹 피해를 입은 것을 인지했는데, 귀찮아서 비밀번호만 바꾸고 ssh 서버를 닫아버린 채로 거의 10개월이 흘렀다. 너무 방치하기는 그렇고 베스트는 포맷인데 일이 그러면 너무 커진다. 대충 복구를 좀 하고 Ubuntu 24.04 LTS가 나오면 그때 전체 포맷을 진행할 예정.

Procedure

변조된 시스템 바이너리 복구

/usr/bin 내에서 의심이 가는 변조 파일 목록들은 다음과 같다.

-rwxr-xr-x 1 root root 3.4K Dec 25  2022 unhide-tcp
-rwxr-xr-x 1 root root 3.4K Dec 25  2022 unhide-posix
-rwxr-xr-x 1 root root 3.4K Dec 25  2022 unhide_rb
-rwxr-xr-x  1 root    root     4.2K Dec 20  2022  unhide
lrwxrwxrwx  1 root    root        9 Dec 20  2022  insmod -> /bin/kmod
-rwxr-xr-x  1 root    root       73 Dec 20  2022  chattr
-rwxr-xr-x  1 root    root      282 Dec 20  2022  lsattr
-rwxr-xr-x  1 root    root      15K Jun  2  2022  e2
-rwxr-xr-x  1 root    root      15K Jun  2  2022  time-date

진짜 lsattr은 time-date로 바꿔두고 가짜를 만들어 놓았다. 진짜 chattr 역시 e2로 숨겨두었다. insmod는 뭔지 잘 모르겠다. 저 unhide들은 뭔지…?

/usr/sbin 내에서 의심이 가는 변조 파일 목록들은 다음과 같다.

-rwxr-xr-x  1 root root    4.2K Dec 20  2022 global-date

가짜 unhide를 갖다 놓고 진짜는 global-date로 바꿔둔 듯 하다.

삭제한 정체 불명의 파일들 목록

  1. /usr/local/games/.cache
  2. /tmp/.cache
  3. /tmp/.lock
  4. /tmp/.XIM-unix
  5. /root/.local/share/nano (해커가 나노 에디터를 사용한다는 뜻?)

unhide로 숨겨진 프로세스 있는지 확인

$ unhide -m -d sys procall brute reverse

실행 결과 별다른 이상은 찾지 못했음.

chkrootkit 백도어 점검

http://www.chkrootkit.org/ 에서 다운받아서 실행:

$ wget ftp://ftp.chkrootkit.org/pub/seg/pac/chkrootkit.tar.gz
$ tar -xf chkrootkit.tar.gz
cd chkrootkit-0.58b
./chkrootkit
...
Searching for suspicious files and dirs, it may take a while...
/usr/lib/debug/.build-id /usr/lib/python3/dist-packages/matplotlib/tests/baseline_images/.keep /usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo /usr/lib/modules/5.4.0-137-generic/vdso/.build-id /usr/lib/modules/5.4.0-162-generic/vdso/.build-id
/usr/lib/debug/.build-id /usr/lib/modules/5.4.0-137-generic/vdso/.build-id /usr/lib/modules/5.4.0-162-generic/vdso/.build-id
...

의심되는 파일을 찾았다고는 하나 확인 결과 잘 모르겠음. rkhunter도 해봤는데 심각한 위협은 없는듯.

카테고리: Linux

0개의 댓글

답글 남기기

아바타 플레이스홀더