안녕하세요~

충격을 먹어가지고 아직까지 황당하군요~
어제 오후 5:00 시경 삼바로 리눅스에 접근 하던중 ...
갑자기 네트웤이 끊겨서 이상하다 생각하고 서버 모니터를 딱 보니깐 ...
ifconfig eth0 PROMISC 라고 메세지가 하나 떠 있더군요~
헉 이상하다 ... 가끔 윈도우에서도 파일 카피하다보면 ..
시스템이 열고있는 파일이라서 카피를 못하는 경우는 있었지만 ...
네트웤이상으로 중단 되다니... 그래서 바로 서버를 리부팅 했습니다 ...
그리고 로그 파일을 뒤졌지요~
아니 그런데 .. 정작 중요한 로그 파일들은 전부 /dev/null 로 링크가
되있는 겁니다. 아니 이럴수가....

그래서 .. 딱 감이 오는게 ... 해킹이란 생각이 들더라구요~~
그래서 일단 라우터쪽에서 ... 서버에 접근 하는 라우팅 테이블을 지우고 ...
로컬 접속만 가능하게 하고 시스템을 뒤져보니 ...
나중에 안 사실이지만 ..
rootkit 라는 해킹 툴에 아주 처참하게 당했더구만요

일단 현상이 콘솔에선 root 로긴이 않됩니다.
다행이 ssh 로 텔넷 접근은 되구요~
그나마 ssh 셋팅을 해놨으니 다행 ^^

시스템의 중요 파일들을 chattr 을 이용해서 ...
root 인 저도 못지우고 못건들게 파일 정보를 바꿔 버리고 ..
정작 그작업을 할수 있는 chattr 은 지워 버렸구요~~
ifconfig, ps, pstree, netstat 등 ... 네트웤 상태/프로세서를
알아볼수 있는 프로그램은 전부 바꿔가지고 .. 자기가 해킹하고 있는
부분은 않보이고... 일반적인 상황만 보이게 바꿔 버렸어요`~~

그냥 아무 생각 없이 봤으면 .. 그냥 시스템이 아주 정상적이라고
보이도록 말이지요~ 이얼마나 황당 합니까 ...

다행히 chkrootkit 라고 하는 rootkit 검사하는 프로그램이 있더라구요~
그걸가지고 검사 해보니~~ 정확히 rootkit 에 당했다는군요~

rootkit 에 당하면 ... 복구가 매우 힘들어 새로 깔아야 할정도 랍니다 ..
저두 이글 쓰고 나서 .. 새로 깔겁니다 ... ㅠ.ㅠ
금같은 시간을 하루를 서버새로까는데.. 허비 해야 한답니다 ...

님들도 해킹 대비 하세요~~
제가 .. 이번 해킹에 .. 놀라 라우터의 로깅을 보았습니다...

단지 이곳에 리눅스가 있어서가 아니라 ...
해커들이.. 그냥 아무 의미 없이 .. 평균 30초 나 일분 정도
간격으로 저희 아이피에 정말 아무의미 없는 포트를 전부 스캔하고
있더군요~ 재수좋게 딱걸리면 그냥 들어옵니다 ...

모두들 조심하세요~