Hacking/Cracking

◆ Java Resources -------------------- - 공지사항 - 최근 IT 소식 - 세미나소식 - 이벤트 & 프로모션 - 추천문서(2006) - 추천문서(2003-2005) - 추천문서(구) - 관련 사이트 - 묻고답하기 @ - 묻고답하기-BACKUP @ - 기술 토론장 @ - 일반 토론장 @ - 사회 토론장 @ - 프로젝트실무컨설팅@ - 교육/강의/강좌 - 프로젝트/솔루션제안 - 채용공고/개발자구인 - 구직란 - 의견나눔터/잡담 - 자바서비스넷은...

◆ Java API Tips -------------------- - Programming Tips - JDC Tech Tips - Servlet/JSP - J2EE/EJB - XML/SOAP/UDDI/WSDL - Jakarta POI - JDBC - Mobile Java - Applet,Swing,SWT - CORBA - RMI - JavaMail - HTML/HTC/css/js - Web 일반 - 서블렛엔진 @ (JServ,Tomcat,JRun,..)

◆ Open Source
----------------------
- Eclipse/Plugin
- Apache Struts
- JDF Framework
  - Download / API

- Open Source Q&A
* 오픈소스 게시판
  신청받아요.

◆ APM ---------------------- - Performance Forum - Jennifer - Consulting Doc. - 사용후기/기능추가요청 - Jennifer FAQ - Jennifer Q&A - Jennifer Download - CA/Wily - Mercury Topaz/J2EE Diag. - Symantec i3 - Borland Optimizeit - Compuware Vantage

◆ApplicationServer
-------------------- 
- 어플리케이션서버

- Apache Geronimo
- ATG Dynamo
- BEA WebLogic
- BolandEnterpriseServer
- Evermind Orion Server
- Fujitsu Interstage
- GemStone's GemStone/J
- HP Netaction
- IBM WebSphere
- IONA iPortal
- InfronTech WebTide
- Macromedia JRun
- Marc Fleury's JBoss
- Oracle 9iAS/OAS/OSDK
- Persistence PowerTier
- SilverStream eXtend
- Sun/Netscape iPlanet
- Sybase EAServer
- TmaxSoft JEUS

- 서블렛엔진
(JServ,Tomcat,Resin,..)

- eclipse/Plugin
- Other IDE Tools

◆ Q&A/Help -------------------- - 묻고답하기 - 묻고답하기-BACKUP - 토론장 - 프로젝트실무컨설팅 - Framework Q&A @ - Jennifer Q&A @ - 게시판 사용법 - 자바서비스넷은... @

제목 : Re: 자바서비스넷 크래킹(cracking) 당하다... 글쓴이: 이원영(javaservice) 2001/11/29 04:19:11 조회수:110 줄수:31 자바서비스넷 운영자 이원영입니다. 자바서비스넷이 지난 금요일(11월23일)저녁부터, 바이러스나 크래킹으로 추정되는 일련의 사태로 인해 토요일/일요일/화요일/수요일 4일동안 정상적인 서비스를 하지 못했습니다. N/W 서비스를 제공하는 인터밀레니엄(주)의 N/W 망이 자바서비스넷 서버의 LAN 포트만 N/W 에 붙였다하면, 해당 N/W 이 마비되는 현상이 일어났습니다. 어떻게 혼자서 해결해 보려고 끼적끼적 해 보았으나, /usr/sbin/ 디렉토리의 일부 binary 실행파일의 날짜가 지난 금요일 오후 5시로 변경되어 있는 것들을 종합해 볼때, 어떤 back-door 프로그램이나 크래킹이 있었던 것으로 추측합니다. 급기야 수요일 저녁에 추가로 Hard Disk 를 구매하여 Linux를 새로 설치하고 기존 데이타를 복구해 두었습니다. 설마 자바서비스넷 서버가 크래킹의 타킷은 아니었겠지만, 이 서버를 경유하여 어딘론가 다른 사이트로 대량의 패킷을 보낸 듯 하다는 것이 제가 추측할 수 있는 전부였습니다. 현재 부산의 SPASH(주)("이형재"<gaia7@orgio.net>)라는 신생 보안업체에서 무료로 점검을 해 주고 있습니다. 분석결과물이 나오면 이곳 자바서비스넷--> Unix/Network --> Hacking/Cracking 게시판에 그 분석내용을 올리도록 하겠습니다. 며칠동안 서비스를 받지 못해 어떻게 된 연유냐고 물으신 분이 많았었는데, 거듭 또한번 죄송합니다. 자바서비스넷 이원영 -------------------------------------------------------------------------------- 2001년 11월 29일 제목 안녕하세요 spash 입니다. 보낸날짜 2001년 11월 29일 목요일, 밤 11시 03분 18초 KST 보낸이 "이형재" <gaia7@orgio.net> [주소록에 추가] [수신거부에 추가] 받는이 javaservice@hanmail.net 안녕하세요 spash의 이형재 입니다. 미약하나마 도움이 되었으면 정말로 감사하겠습니다. 저희가 간단한 보안세팅을 끝나고 잠깐이나마 로그를 분석해 본 결과 ssh crv32 공격으로 귀사의 서버에 들어온것 같습니다(crc32 exploit이 인터넷상에서 돌고있군요) ip를 확인해 본 결과 미국에서 들어왔으며 더 조사중입니다. 조만간 리포팅 형식으로 정리하여 보내드리겠습니다 -------------------------------------------------------------------------------- 제목 11/24 크래킹 사고 분석입니다.. 보낸날짜 2001년 12월 10일 월요일, 오후 5시 50분 29초 KST 보낸이 "이형재" <gaia7@orgio.net> [주소록에 추가] [수신거부에 추가] 받는이 javaservice@hanmail.net 작성:Spash security team Nov 24 02:05:13 javaservice sshd[7974]: log: Connection from 216.33.49.23 port 2233 Nov 24 02:05:13 javaservice sshd[7974]: log: Could not reverse map address 216.33.49.23. Nov 24 02:05:13 javaservice sshd[7976]: log: Connection from 216.33.49.23 port 2609 Nov 24 02:05:14 javaservice sshd[7976]: log: Could not reverse map address 216.33.49.23. Nov 24 02:05:30 javaservice sshd[7976]: fatal: Bad protocol version identification: Nov 24 02:05:30 javaservice sshd[7974]: fatal: Did not receive ident string (.....중략.....) 로그파일에서 발견된 첫 공격 흔적입니다. 24일 새벽 2시 5분에 216.33.49.23 이라는 ip 에서 javaservice 의 ssh 에 연결을 시도 하고 있는데 아마도 ssh의 버젼을 확인하고 exploit 을 실행하여 공격을 시도하고 있었을 것이라 추정됩니다. Nov 24 02:10:17 javaservice sshd[8138]: fatal: Local: Corrupted check bytes on input. remote attack의 특성상 쉽게 overflow 가 일어나지 않으므로 크래커는 아마 stack 상의 return address 의 offset 값을 추측하기 위해 반복적으로 공격을 시작하였습니다. Nov 24 02:15:38 javaservice sshd[8263]: fatal: Local: crc32 compensation attack: network attack detected 반복적으로 시도하다가 크래커는 다른 ssh exploit을 획득하여 공격을 시도하려 했습니다. 즉 ssh crc32 exploit으로 공격을 시도하였습니다. Nov 24 02:20:00 javaservice sshd[398]: log: Generating new 768 bit RSA key. Nov 24 02:20:01 javaservice sshd[398]: log: RSA key generation complete. Nov 24 02:23:19 javaservice sshd[8485]: log: Connection from 216.33.49.23 port 2016 ssh crc32 공격을 약 5 분 정도 시도하여 ssh 의 오작동으로 인해 216.33.49.23 ip의 접근 인증이 이루어 졌습니다. 여기까지가 /var/log/messages 파일의 내용입니다 Nov 23 19:20:24 javaservice proftpd[29148]: javaservice.net (203.253.146.231[203. 253.146.231]) - ANON anonymous: Login successful. Nov 23 20:09:49 javaservice proftpd[31098]: javaservice.net (210.123.181.204[210. 123.181.204]) - ANON anonymous: Login successful. Nov 24 14:30:54 javaservice login: ROOT LOGIN ON tty1 Nov 24 17:38:22 javaservice proftpd[517]: javaservice 크래킹이 이루어진 시간대의 /var/log/secure 파일 이지만 애석하게도 크래커가 secure 파일의 기록을 수정한것으로 보여집니다.(보시다 시피 23일 20시 이후의 기록은 삭제되었음) 주)인터밀레니엄(현재 javaservice의 서버가 있는곳)의 N/W 마비 현상은 크래커의 SSH 공격으로 인한 트래픽 폭주현상과 인터밀레니엄의 백본망이 E1 급의 좁은 대여폭을 사용하기 때문에 트래픽을 견뎌 내지 못한것으로 추정합니다. 시스템 내부로 들어간 크래커는 백도어를 설치하였습니다. 백도어의 종류가 여러 종류이지만 제 견해로는 rootkit 을 설치한것으로 보입니다. ps 명령어가 잘 되지 않았으므로 ldd 명령어로 라이브러리의 의존성을 체크해본 결과 다음과 같습니다. # ldd /bin/ps libproc.so.2.0.6 => /lib/libproc.so.2.0.6 (0x40018000) libc.so.6 => /lib/libc.so.6 (0x40024000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) 정상인 경우 # ldd /bin/ps libproc.so.2.0.0 => not found libc.so.6 => /lib/libc.so.6 (0x40018000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) rootkit이 설치되어 있는 경우 저희가 로그를 분석하던 중 javaservice 가 anonymous ftp 상태로 서버가 열려있어서 여러곳에서 ftp 접속을 시도하는 것을 발견할수 있었습니다.(일본,미국등) anonymous ftp 를 운영하는 경우 서버내부를 약간이나마 볼수 있고 또 불필요한 트래픽을 일으킬 수 있기 때문에 현재 막아논 상태이며 현재 javaservice는 방화벽이 설치되어 있습니다. 이처럼 보안을 강화하기 위해 설치해논 ssh 가 오히려 해킹의 위험이 될수있음을 확인할 수 있었고 서버관리자들은 항상 최신 프로그램을 설치하시길 권장합니다. -spash- -------------------------------------------------------------------------------- 2001년 12월 3일 월요일 아침 Network 제공업체의 정전 사고로 인해, 자바서비스넷 Hard Disk가 망가짐. 부산의 SPASH(주) 보안업체의 도움으로 일부 자료만 복구하여 12월 7일(금요일)부터 정상적인 서비스를 다시 제공함. -------------------------------------------------------------------------------- 2001년 12월 9일(일요일) 오후 5시 20분 경 다시 크래킹 당함. 자바서비스넷의 첫 index.html 페이지가 "This is lame" 이라는 문구로 변경되어 있음. drwxr-xr-x 4 root root 4096 Dec 9 17:53 ./ -rw-r--r-- 1 root root 1113 Dec 9 02:38 ., <-- index.html 원본 drwxr-xr-x 6 root root 4096 Dec 7 04:10 ../ -rw-r--r-- 1 root root 2494 Dec 7 05:10 favicon.ico -rw-rw-r-- 1 root root 14 Dec 9 17:20 index.html drwxr-xr-x 3 root root 4096 Dec 6 10:20 manual/ -rw-r--r-- 1 root root 1154 Mar 1 2000 poweredby.png drwxr-xr-x 10 root root 4096 Dec 8 03:46 wwwcount2.5/ 짧은 소견으로 보면, /var/log/ 디렉토리의 wtmp 파일이 삭제되어 있어 최근 접속된 로그정보가 없어져 있음. /var/log/messages 파일도 지워져 있으나, 아래와 같은 기록이 남아 있음. [/var/log/messages] Dec 9 17:33:51 javaservice syslogd 1.3-3: restart. Dec 9 17:35:53 javaservice identd[17549]: request_thread: read(11, ..., 1023) failed: Connection reset by peer Dec 9 17:35:55 javaservice kernel: lockd: connect from unprivileged port: 66.21.117.9:3210<4>lockd: accept failed (err 11)! Dec 9 17:35:55 javaservice kernel: lockd: accept failed (err 11)! Dec 9 17:36:03 javaservice ftpd[17550]: getpeername (in.ftpd): Transport endpoint is not connected Dec 9 17:36:03 javaservice inetd[476]: pid 17550: exit status 1 Dec 9 17:36:20 javaservice ftpd[17551]: FTP session closed Dec 9 17:38:19 javaservice PAM_pwdb[15883]: (su) session closed for user b Dec 9 17:38:19 javaservice inetd[476]: pid 15844: exit status 1 ....(생략)... Dec 9 18:14:54 javaservice inetd[476]: pid 17877: exit status 1 Dec 9 18:46:01 javaservice PAM_pwdb[18352]: check pass; user unknown Dec 9 18:46:03 javaservice login[18352]: FAILED LOGIN 1 FROM 210.182.138.4 FOR wh^H^H^H^H, User not known to the underlying authent ication module Dec 9 18:46:16 javaservice PAM_pwdb[18352]: authentication failure; (uid=0) -> root for login service Dec 9 18:46:17 javaservice login[18352]: FAILED LOGIN 2 FROM 210.182.138.4 FOR root, Authentication failure Dec 9 18:46:27 javaservice login[18352]: FAILED LOGIN 3 FROM 210.182.138.4 FOR root, Authentication failure Dec 9 18:46:31 javaservice login[18352]: FAILED LOGIN SESSION FROM 210.182.138.4 FOR (null), Error in service module Dec 9 18:46:31 javaservice inetd[476]: pid 18351: exit status 1 Dec 9 18:46:49 javaservice ftpd[18368]: FTP LOGIN REFUSED (ftp not in /etc/passwd) FROM dns.csjh.kh.edu.tw [163.18.161.1], ftp Dec 9 18:46:50 javaservice ftpd[18368]: FTP session closed ....(생략)... [/var/log/secure] Dec 9 17:36:03 javaservice in.ftpd[17550]: connect from 66.21.117.9 Dec 9 17:36:19 javaservice in.ftpd[17551]: connect from 66.21.117.5 Dec 9 17:36:20 javaservice sshd[16223]: connection from "66.21.117.5" Dec 9 17:36:21 javaservice sshd[17552]: Local disconnected: Illegal protocol version. Dec 9 17:36:21 javaservice sshd[17552]: protocol version not supported in local: 'Illegal protocol version.' Dec 9 17:43:17 javaservice sshd[16223]: connection from "217.156.72.182" Dec 9 17:43:17 javaservice sshd[17565]: DNS lookup failed for "217.156.72.182". Dec 9 17:43:48 javaservice sshd[17565]: Local disconnected: Connection closed by remote host. Dec 9 17:43:48 javaservice sshd[17565]: connection lost: 'Connection closed by remote host.' ....(중간생략)... Dec 9 18:45:43 javaservice in.telnetd[18351]: connect from 210.182.138.4 Dec 9 18:46:48 javaservice in.ftpd[18368]: connect from 163.18.161.1 Dec 9 19:20:42 javaservice sshd[17630]: Local disconnected: Connection closed. Dec 9 19:20:42 javaservice sshd[17630]: connection lost: 'Connection closed.' Dec 9 19:34:04 javaservice sshd[16223]: connection from "200.218.43.199" Dec 9 19:34:05 javaservice sshd[19373]: DNS lookup failed for "200.218.43.199". Dec 9 19:34:21 javaservice sshd[19373]: Local disconnected: Connection closed by remote host. Dec 9 19:34:21 javaservice sshd[19373]: connection lost: 'Connection closed by remote host.' 상기의 66.21.117.9 IP는 아래와 같이 노스아틀란타 지역의 것으로 보임 Bellsouth.net, Inc. (NETBLK-BELLSNET-BLK8) 301 Perimeter Center North Atlanta, GA 30346 US Netname: BELLSNET-BLK8 Netblock: 66.20.0.0 - 66.21.255.255 Maintainer: BELL Coordinator: Geurin, Joe (JG726-ARIN) ipadmin@bellsouth.net 678-441-7800 (FAX) 678-441-6968 217.156.72.182 IP는 루마니아의 것으로 보여진다. % This is the RIPE Whois secondary server. % The objects are in RPSL format. % Please visit http://www.ripe.net/rpsl for more information. % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html inetnum: 217.156.72.128 - 217.156.72.191 netname: JOHN-CO descr: SC John Co. SRL descr: Str. Armand Calinescu, Nr.9A, descr: Pitesti, 0300, jud. Arges, Romania country: ro admin-c: BD497-RIPE tech-c: BD497-RIPE status: ASSIGNED PA mnt-by: AS3233-MNT notify: domain-admin@listserv.rnc.ro changed: cristih@rnc.ro 20010705 source: RIPE dns.csjh.kh.edu.tw(163.18.161.1)은 아래의 정보를 나타내고 있음. Ministry of Education Computer Center (NETBLK-TANET-B) TANET-B 163.13.0.0 - 163.32.255.255 Ministry of Education Computer Center (NET-TANET-B-6) TANET-B-6 163.18.0.0 - 163.18.255.255 Ministry of Education Computer Center (NETBLK-TANET-B) Ministry of Education Computer Center 12th Fl, 106, Hoping E. Road, Sec 2. TW Netname: TANET-B Netblock: 163.13.0.0 - 163.32.255.255 Maintainer: MOEC Coordinator: Chen, Wen-Sung (WSC1-ARIN) ZCHEN@TWNMOE10.EDU.TW 886-2-737-7011 210.182.138.4 는 국내 IP인데, 어느 분이죠? --------------------------------------------------------------------------------- index.html 이 변경된 후 불과 15분 뒤 17시 35분 경, "Alldas.de Incident Handling Center"라는 외국보안업체로부터 아래의 메일이 본인에게 도착함. 제목 Security Incident at www.javaservice.net ( IP: 211.53.127.180 ) 보낸날짜 2001년 12월 09일 일요일, 새벽 02시 35분 06초 -0600 (CST) 보낸이 "Alldas.de Incident Handling Center" <abuse@alldas.de> 받는이 security@javaservice.net, hostmaster@javaservice.net,abuse@javaservice.net 함께 받는이 javaservice@hanmail.net, IncidentInformed@alldas.de Greetings. You are being contacted because you are listed as an Internic contact for the domain referred to. Alldas.de is a non-profit, hobby web site that monitors computer crime on the internet. In the past few minutes, we have been notified that your domain was hacked, and your web page defaced. This means that the intruder has edited your web page in some way. Due to this, it is quite likely that one or all of the machines on your network are compromised. You may wish to take immediate action to correct this problem and respond to the intrusion. One of the free services Alldas.de offers is mirroring defaced pages to aid in statistics on computer crime. The various archives of information we maintain is used by security professionals and law enforcement every day. We comply with all law enforcement subpoenas for information related to the intrusion. We want to assure you that we had no advanced knowledge of the intrusion. Any reference to Alldas.de (66.21.117.5 & 66.21.117.9) in your logs is due to our mirroring utility. Any greeting or reference to Alldas.de on the actual web page is beyond our control. We send out over 2000 mails like this every month. You should contact the appropriate CERT and law enforcement agency with follow-up information. They can provide recommendations for recovering and dealing with this incident. If you receive any additional mail from a security company or vendor, we'd like to state up front that we are in no way affiliated with them. We have found out that some security companies prey on victims of web defacement to solicit their products or services. If you receive such mail, please forward the full text with headers to us so that we can confront them. Please feel free to mail us if you have any questions or would like assistance. For more on security and incident response: http://www.ciac.org/ciac/ For more on computer forensics and preservation of evidence: http://www.forensics-intl.com/info.html Contacting Law Enforcement http://www.fbi.gov/contact/fo/fo.htm For the latest on vulnerabilities and good security practice: http://www.securityfocus.com Explanation of our mirroring Utility: http://defaced.alldas.de/?FAQ=admin The Alldas Mirror: http://defaced.alldas.de For the latest patches and mailing lists http://security.alldas.de/patches/ Contacting us: abuse@alldas.de 로그에 남아 있는 IP는 결국, 위 보안업체의 mirroring utility의 의한 것으로 보임 (근데, 좀 미심적은데... 17시 20분에 index.html 이 변경되어 있고, 불과 15분 뒤인 35분경에 mirroring utility 를 돌리고, 곧바로 내게 주의성 메일을 날렸다구? 대단하다고 해야 하는거야, 아니면 의심해야 하는거야...??) 그러나, 모든 로그가 35분 이후에나 남아 있는 것과 index.html 의 최종 변경시각은 17시 20분 인것으로 봐선, 크래커의 흔적은 모두 지워진 것으로 추정됨. 근데, 유럽 루마니아에서 접속한 217.156.72.182 와, 대만의 교육부 전산실인 163.18.161.1은 뭘까.. 이 IP역시 크래킹을 알아차린 보안업체일까.. --------------------------------------------------------------------------------- 2001.12.09 20:35 확인된 사항 어느 분의 제보와 웹서버 로그를 추적해 보니, 15시 48분부터 17시 05분까지 /ezs.html 이라는 문서를 링크를 걸어 두었고, 그 내용은 야한 이미지였다 함. # cat access_log | grep ezs.html 211.44.101.120 - - [09/Dec/2001:15:48:58 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 209.63.9.37 - - [09/Dec/2001:15:53:00 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 203.239.99.52 - - [09/Dec/2001:15:53:05 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.222.255.98 - - [09/Dec/2001:16:00:21 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.200.83.100 - - [09/Dec/2001:16:04:42 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.224.157.167 - - [09/Dec/2001:16:10:11 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 61.77.5.209 - - [09/Dec/2001:16:10:11 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 61.83.148.156 - - [09/Dec/2001:16:17:14 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.208.184.103 - - [09/Dec/2001:16:20:36 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.208.184.103 - - [09/Dec/2001:16:21:06 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 211.216.144.157 - - [09/Dec/2001:16:22:16 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.217.154.236 - - [09/Dec/2001:16:23:29 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.177.47.191 - - [09/Dec/2001:16:27:48 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.187.5.131 - - [09/Dec/2001:16:28:06 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 61.98.14.62 - - [09/Dec/2001:16:36:31 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.52.63.53 - - [09/Dec/2001:16:37:56 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 210.99.135.76 - - [09/Dec/2001:16:44:42 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 210.99.135.76 - - [09/Dec/2001:16:45:11 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 211.52.63.53 - - [09/Dec/2001:16:45:38 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 211.110.91.105 - - [09/Dec/2001:16:47:39 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 210.99.135.78 - - [09/Dec/2001:16:49:08 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 210.100.244.207 - - [09/Dec/2001:16:49:29 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.37.182.199 - - [09/Dec/2001:16:50:09 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.37.182.199 - - [09/Dec/2001:16:50:33 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 211.219.177.242 - - [09/Dec/2001:16:51:10 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.219.177.242 - - [09/Dec/2001:16:51:25 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.56.58.30 - - [09/Dec/2001:16:51:28 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.56.58.29 - - [09/Dec/2001:16:54:19 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.56.58.29 - - [09/Dec/2001:16:55:29 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 211.218.242.222 - - [09/Dec/2001:16:58:29 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 61.78.54.26 - - [09/Dec/2001:16:59:14 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 61.78.54.26 - - [09/Dec/2001:17:00:21 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 61.254.20.225 - - [09/Dec/2001:17:00:22 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 61.78.54.21 - - [09/Dec/2001:17:00:22 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 61.254.20.225 - - [09/Dec/2001:17:00:48 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 61.78.54.26 - - [09/Dec/2001:17:03:53 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 61.78.54.26 - - [09/Dec/2001:17:04:07 -0500] "GET /ezs.html HTTP/1.1" 304 - 0 24.78.56.107 - - [09/Dec/2001:17:04:09 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 211.111.176.243 - - [09/Dec/2001:17:05:33 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 210.222.46.22 - - [09/Dec/2001:17:05:53 -0500] "GET /ezs.html HTTP/1.1" 200 1113 0 210.222.46.22 - - [09/Dec/2001:17:05:55 -0500] "GET /ezs.html HTTP/1.0" 200 1113 0 --------------------------------------------------------------------------------- 2001.12.09 21:00 확인된 사항 웹서버의 로그를 확인해 본 결과, 첫페이지인 index.html 이 최초에 바뀐 시각은 15시 45분이며, 15시 46분에 또한번 변경한 것으로 보인다. # cat access_log | grep GET\ /\ HTTP/1 211.196.229.166 - - [09/Dec/2001:15:39:28 -0500] "GET / HTTP/1.1" 200 1113 0 211.47.204.70 - - [09/Dec/2001:15:41:09 -0500] "GET / HTTP/1.1" 200 1113 0 211.48.33.170 - - [09/Dec/2001:15:41:37 -0500] "GET / HTTP/1.1" 200 1113 0 211.106.185.130 - - [09/Dec/2001:15:42:11 -0500] "GET / HTTP/1.1" 200 1113 0 169.140.115.136 - - [09/Dec/2001:15:42:47 -0500] "GET / HTTP/1.0" 200 1113 0 209.63.9.37 - - [09/Dec/2001:15:45:35 -0500] "GET / HTTP/1.1" 200 1158 0 211.233.134.99 - - [09/Dec/2001:15:45:59 -0500] "GET / HTTP/1.1" 200 1158 0 211.233.134.99 - - [09/Dec/2001:15:46:15 -0500] "GET / HTTP/1.1" 200 1158 0 211.233.134.99 - - [09/Dec/2001:15:46:33 -0500] "GET / HTTP/1.1" 304 - 0 209.63.9.37 - - [09/Dec/2001:15:46:47 -0500] "GET / HTTP/1.1" 200 1169 0 203.252.90.69 - - [09/Dec/2001:15:48:05 -0500] "GET / HTTP/1.1" 200 1169 0 211.44.101.120 - - [09/Dec/2001:15:48:35 -0500] "GET / HTTP/1.1" 200 1169 0 211.204.33.7 - - [09/Dec/2001:15:52:23 -0500] "GET / HTTP/1.1" 200 1169 0 203.239.99.52 - - [09/Dec/2001:15:52:52 -0500] "GET / HTTP/1.1" 200 1169 0 209.63.9.37 - - [09/Dec/2001:15:53:09 -0500] "GET / HTTP/1.1" 304 - 0 210.117.131.204 - - [09/Dec/2001:15:53:27 -0500] "GET / HTTP/1.1" 200 1169 0 211.111.176.243 - - [09/Dec/2001:15:55:27 -0500] "GET / HTTP/1.1" 200 1169 0 211.48.6.249 - - [09/Dec/2001:15:57:55 -0500] "GET / HTTP/1.1" 200 1169 0 211.37.182.199 - - [09/Dec/2001:15:59:32 -0500] "GET / HTTP/1.1" 200 1169 0 211.222.255.98 - - [09/Dec/2001:16:00:05 -0500] "GET / HTTP/1.1" 200 1169 0 211.217.52.36 - - [09/Dec/2001:16:00:59 -0500] "GET / HTTP/1.1" 200 1169 0 211.217.52.36 - - [09/Dec/2001:16:01:02 -0500] "GET / HTTP/1.1" 304 - 0 211.217.52.36 - - [09/Dec/2001:16:01:04 -0500] "GET / HTTP/1.1" 304 - 0 211.111.176.243 - - [09/Dec/2001:16:02:59 -0500] "GET / HTTP/1.1" 304 - 0 211.200.83.100 - - [09/Dec/2001:16:03:51 -0500] "GET / HTTP/1.1" 200 1169 0 .... ....... 210.222.46.22 - - [09/Dec/2001:17:05:35 -0500] "GET / HTTP/1.1" 200 1169 0 210.222.46.22 - - [09/Dec/2001:17:05:38 -0500] "GET / HTTP/1.0" 200 1169 0 211.111.176.243 - - [09/Dec/2001:17:05:51 -0500] "GET / HTTP/1.1" 304 - 0 61.72.68.200 - - [09/Dec/2001:17:08:51 -0500] "GET / HTTP/1.1" 200 1113 0 203.252.3.27 - - [09/Dec/2001:17:09:41 -0500] "GET / HTTP/1.1" 200 1113 0 211.216.27.212 - - [09/Dec/2001:17:10:22 -0500] "GET / HTTP/1.1" 200 1113 0 211.42.202.32 - - [09/Dec/2001:17:10:51 -0500] "GET / HTTP/1.1" 200 1113 0 210.99.135.78 - - [09/Dec/2001:17:12:21 -0500] "GET / HTTP/1.1" 200 1113 0 210.99.135.78 - - [09/Dec/2001:17:12:24 -0500] "GET / HTTP/1.1" 200 1113 0 210.99.135.78 - - [09/Dec/2001:17:12:37 -0500] "GET / HTTP/1.1" 304 - 0 211.217.147.248 - - [09/Dec/2001:17:12:54 -0500] "GET / HTTP/1.1" 200 1113 0 210.99.135.78 - - [09/Dec/2001:17:13:36 -0500] "GET / HTTP/1.1" 200 1113 0 203.246.6.124 - - [09/Dec/2001:17:13:57 -0500] "GET / HTTP/1.1" 200 1113 0 211.216.27.212 - - [09/Dec/2001:17:14:32 -0500] "GET / HTTP/1.1" 304 - 0 211.218.242.222 - - [09/Dec/2001:17:14:51 -0500] "GET / HTTP/1.1" 200 1113 0 211.37.182.199 - - [09/Dec/2001:17:17:48 -0500] "GET / HTTP/1.1" 200 1113 0 211.228.2.229 - - [09/Dec/2001:17:22:28 -0500] "GET / HTTP/1.1" 200 14 0 209.63.9.37 - - [09/Dec/2001:17:22:31 -0500] "GET / HTTP/1.1" 200 14 0 62.163.101.134 - - [09/Dec/2001:17:22:59 -0500] "GET / HTTP/1.0" 200 14 0 211.238.138.19 - - [09/Dec/2001:17:24:02 -0500] "GET / HTTP/1.1" 200 14 0 틀림없이, index.html 을 바꾸었으면, 브라우져를 이용하여 확인을 했을 것이다. 가장 의심스런 IP는 209.63.9.37 이다. # cat access_log | grep 209.63.9.37 209.63.9.37 - - [09/Dec/2001:15:37:23 -0500] "GET / HTTP/1.1" 200 1113 0 209.63.9.37 - - [09/Dec/2001:15:37:24 -0500] "GET /~java/bbs/search.cgi?m=resou 209.63.9.37 - - [09/Dec/2001:15:37:24 -0500] "GET /cgi-bin/musicbox.cgi HTTP/1. 209.63.9.37 - - [09/Dec/2001:15:37:24 -0500] "GET /~java/bbs/conf/bbs.css HTTP/ 209.63.9.37 - - [09/Dec/2001:15:37:24 -0500] "GET /~java/bbs/images/jsn_logo.gi 209.63.9.37 - - [09/Dec/2001:15:37:25 -0500] "GET /~java/bbs/images/banner/jsn8 209.63.9.37 - - [09/Dec/2001:15:37:25 -0500] "GET /cgi-bin/Count.cgi?ft=0&df=po 209.63.9.37 - - [09/Dec/2001:15:37:25 -0500] "GET /cgi-bin/Count.cgi?ft=0&df=po 209.63.9.37 - - [09/Dec/2001:15:37:25 -0500] "GET /cgi-bin/Count.cgi?ft=0&df=po 209.63.9.37 - - [09/Dec/2001:15:37:25 -0500] "GET /cgi-bin/Count.cgi?ft=0&df=po 209.63.9.37 - - [09/Dec/2001:15:37:26 -0500] "GET /~java/bbs/images/round_left0 209.63.9.37 - - [09/Dec/2001:15:37:26 -0500] "GET /~java/bbs/images/round_right 209.63.9.37 - - [09/Dec/2001:15:37:26 -0500] "GET /~java/bbs/images/c.gif HTTP/ 209.63.9.37 - - [09/Dec/2001:15:37:26 -0500] "GET /~java/bbs/images/close-new.g 209.63.9.37 - - [09/Dec/2001:15:37:26 -0500] "GET /~java/bbs/images/clip.jpg HT 209.63.9.37 - - [09/Dec/2001:15:37:26 -0500] "GET /~java/bbs/images/open-new.gi 209.63.9.37 - - [09/Dec/2001:15:37:26 -0500] "GET /~java/bbs/images/1pixel.gif 209.63.9.37 - - [09/Dec/2001:15:45:35 -0500] "GET / HTTP/1.1" 200 1158 0 209.63.9.37 - - [09/Dec/2001:15:46:47 -0500] "GET / HTTP/1.1" 200 1169 0 209.63.9.37 - - [09/Dec/2001:15:53:00 -0500] "GET /ezs.html HTTP/1.1" 200 1113 209.63.9.37 - - [09/Dec/2001:15:53:01 -0500] "GET /~java/bbs/search.cgi?m=resou 209.63.9.37 - - [09/Dec/2001:15:53:01 -0500] "GET /cgi-bin/musicbox.cgi HTTP/1. 209.63.9.37 - - [09/Dec/2001:15:53:01 -0500] "GET /~java/bbs/conf/bbs.css HTTP/ 209.63.9.37 - - [09/Dec/2001:15:53:02 -0500] "GET /~java/bbs/images/jsn_logo.gi 209.63.9.37 - - [09/Dec/2001:15:53:02 -0500] "GET /~java/bbs/images/banner/jsn8 209.63.9.37 - - [09/Dec/2001:15:53:03 -0500] "GET /cgi-bin/Count.cgi?ft=0&df=po 209.63.9.37 - - [09/Dec/2001:15:53:03 -0500] "GET /cgi-bin/Count.cgi?ft=0&df=po 209.63.9.37 - - [09/Dec/2001:15:53:04 -0500] "GET /cgi-bin/Count.cgi?ft=0&df=po 209.63.9.37 - - [09/Dec/2001:15:53:04 -0500] "GET /cgi-bin/Count.cgi?ft=0&df=po 209.63.9.37 - - [09/Dec/2001:15:53:04 -0500] "GET /~java/bbs/images/round_left0 209.63.9.37 - - [09/Dec/2001:15:53:04 -0500] "GET /~java/bbs/images/round_right 209.63.9.37 - - [09/Dec/2001:15:53:05 -0500] "GET /~java/bbs/images/c.gif HTTP/ 209.63.9.37 - - [09/Dec/2001:15:53:05 -0500] "GET /~java/bbs/images/close-new.g 209.63.9.37 - - [09/Dec/2001:15:53:05 -0500] "GET /~java/bbs/images/clip.jpg HT 209.63.9.37 - - [09/Dec/2001:15:53:05 -0500] "GET /~java/bbs/images/open-new.gi 209.63.9.37 - - [09/Dec/2001:15:53:05 -0500] "GET /~java/bbs/images/1pixel.gif 209.63.9.37 - - [09/Dec/2001:15:53:09 -0500] "GET / HTTP/1.1" 304 - 0 209.63.9.37 - - [09/Dec/2001:17:03:08 -0500] "GET / HTTP/1.1" 304 - 0 209.63.9.37 - - [09/Dec/2001:17:22:31 -0500] "GET / HTTP/1.1" 200 14 0 15시 37분에 최초 접속하고, 15시 45분경에 1차 변경했으며, 17시 20분에 "This is lame"이란 문구를 변경후, 17시 22분에 그것을 확인한 것으로 보인다. IP 209.63.9.37 는 미국의 CDS Network을 경유하여 접속한 것으로 나타났다. Electric Lightwave Inc (NETBLK-NETBLK-ELI-NETBLK7) NETBLK-ELI-NETBLK7 209.63.0.0 - 209.63.255.255 CDS Networks (NETBLK-ELINETBLK-CDSNET) ELINETBLK-CDSNET 209.63.8.0 - 209.63.15.255 CDS Networks (NETBLK-ELINETBLK-CDSNET) 2661 South Pacific Highway Medford, OR 97501 US Netname: ELINETBLK-CDSNET Netblock: 209.63.8.0 - 209.63.15.255 Maintainer: CDSN Coordinator: Mathisen, Jaye (JM468-ARIN) mrcpu@CDSNET.NET +1-503-773-9600 (FAX) 541-773-1832 ------------------------------------------------------------------------------- 제목 오호라~ 보낸날짜 2001년 12월 10일 월요일, 오전 10시 41분 42초 KST 보낸이 "이형재" <gaia7@orgio.net> [주소록에 추가] [수신거부에 추가] 받는이 javaservice@hanmail.net 아..예..오랜만에 메일을 확인하느라.. 에고..개인적으로 워낙 복잡한 일이 많아서 ^^ 아..외국업체에서 온거는요.. 아마 자바서비스를 크래킹한 크래커가 그 업체에 신고를 했나 봅니다. 아마 크래커가 님의 사이트를 크래킹한후 약간의 로그파일과 홈페이지를 변경한것을 그 업체에 올려 놨군요, 보아하니 그리 나쁜사람은 아니네요 ^^.. lame 이라는 사람인것 같던데.. 제가 알기론 그 양반이 독일에서 유명한 해커인데.. 얼마전에 wu-ftp 클라이언트 format string 버그 어쩌구 하던 사람인데.. 아..lam 이였는가? 오락가락 하네요.. 아참!! 제가 잠시 보니깐 ssh 로 또 들어 왔네요 이런..예전의 ssh 버젼 그대로 설치하신것 같은데.. 지금 사무실 가서 다시 연락드리겠습니다 이형재 ------------------------------------------------------------------------------- 제목 Re: 대단히 감사드립니다. 보낸날짜 2001년 12월 10일 월요일, 오전 11시 17분 10초 +0900 보낸이 "goldennet" <ch3cooh@golden21.net> [주소록에 추가] [수신거부에 추가] 받는이 이원영 <javaservice@hanmail.net> 형 글고! 얼마전에 울 회사 쪽 서버에도 함당했었는데.. 요즘 ssh쪽 buffer overflow버그를 이용해 바로 bin 권한을 얻어 버리든데.. 혹시 그런 유형이 아녔을까..? 나두 여뗜 식의 attack이였는지 궁금하다.. ^^; 그럼... 금유환 ------------------------------------------------------------------------------- 2001.12.10 To: "Alldas.de Incident Handling Center" <abuse@alldas.de> From : "이원영"<javaservice@hanmail.net> CC : "이형재" <gaia7@orgio.net>, "김정수"<coculi@lycos.co.kr> Subject : Re: [RE]Security Incident at www.javaservice.net ( IP: 211.53.127.180 ) Hello, Thank you for your notification of my web site cracked. Here is some information. 2001.12.09(Sunday) 17:20 KOREA local time. "index.html" of my web site was changed as "This is lame". # ls -alF drwxr-xr-x 4 root root 4096 Dec 9 17:53 ./ -rw-r--r-- 1 root root 1113 Dec 9 02:38 ., <-- 나중에 알아차린 index.html 원본 drwxr-xr-x 6 root root 4096 Dec 7 04:10 ../ -rw-r--r-- 1 root root 2494 Dec 7 05:10 favicon.ico -rw-rw-r-- 1 root root 14 Dec 9 17:20 index.html drwxr-xr-x 3 root root 4096 Dec 6 10:20 manual/ -rw-r--r-- 1 root root 1154 Mar 1 2000 poweredby.png drwxr-xr-x 10 root root 4096 Dec 8 03:46 wwwcount2.5/ All logs in /var/log directory were deleted before 17:33. The following logs started at 17:33 again. [/var/log/messages] ....(ommitted)... [/var/log/secure] ....(ommitted)... ...(log analysis ommitted)... I suspect the IP address, 209.63.9.37. Whenever the web pages were changed, the IP address was logged. But, I don't have any information about how the cracker could have my system root authentication. Do you know ? If you want to check my system and log files, don't hesitate to contect me. Thanks again. WonYoung, Lee http://www.javaservice.net javaservice@hanmail.net +82-11-898-7904 ------------------------------------------------------------------------------- 제목 Re: [RE]Security Incident at www.javaservice.net ( IP: 211.53.127.180 ) 보낸날짜 2001년 12월 09일 일요일, 오후 4시 21분 50초 +0100 보낸이 "Helpdesk of Alldas.de" <helpdesk@alldas.de> 받는이 "이원영" <javaservice@hanmail.net> 소속기관 Alldas.de Hi! As far as I can see from the statistics that we gathered you were penetrated by a bug in BIND 8.2.2-p5. There's a known linux exploit circulating that exploit that vulnability. Check your logs for bind requests that looks weird and/or other stuff connected to that application. Did you find anything in ~/.bash_history? Best Regards Fredrik Ostergren - helpdesk@alldas.de Helpdesk of Alldas.de IT-Security Information Network http://www.alldas.de -------------------------------------------------------------------------------- 제목 spash 입니다. 보낸날짜 2001년 12월 10일 월요일, 저녁 6시 09분 19초 KST 보낸이 "이형재" <gaia7@orgio.net> [주소록에 추가] [수신거부에 추가] 받는이 javaservice@hanmail.net 안녕하십니까 spash 입니다. 12/9 일 일어난 크래킹 사고는 현재 log 파일이 거의 남아 있지 않은 상태라 깊은 분석은 어려운 상태입니다.(이점 양해 부탁드립니다..) 간단히 말씀드리면 53포트로 통해서 네임서버 공격이 이루어 졌습니다. 지금은 방화벽이 설치되어 위험요소는 없어진 상태이고 방화벽이 설치되었지만 ssh는 열어놔야 할 상황이므로 최신 ssh2 를 다시 설치하시기 바랍니다.. 그리고 저번 하드복구 건은 저보다 그날 밤을 새면서 모니터링(/home이 살려지는지 확인 ^^) 해주신 분이 고생 많이 하셨습니다.. 이형재 ------------------------------------------------------------------------------- 2001.12.11 02:30분 확인한 사항 jsn:/usr/src# /usr/sbin/named -version named 8.2.2-P5 Mon Feb 28 10:17:53 EST 2000 root@porky.devel.redhat.com:/usr/src/bs/BUILD/bind-8.2.2_P5/src/bin/named 현재 운영되고 있는 BIND 8.2.2-P5 는 인터넷에서 검색해 본 결과 다음과 같은 버그들 투성이었다. http://www.isc.org/products/BIND/bind-security.html http://slashdot.org/articles/01/01/30/0435256.shtml ------------------------------------------------------------------------------- 2001.12.11 02:50 BIND 9.1.3으로 Upgrade jsn:/# /usr/sbin/named -version BIND 9.1.3 -------------------------------------------------------------------------------- 2001.12.11 04:12 크래킹 흔적 추가 발견 /etc/passwd 파일에 아래의 항목이 추가되어 있음을 뒤늦게나마 발견. jsn:/# cat /etc/passwd ..... a:x:501:501::/.,:/bin/bash b:x:0:0::/.,:/bin/bash jsn:/# ls -alFt / total 75 drwx------ 2 501 501 1024 Dec 11 05:50 .,/ drwxr-xr-x 3 root root 3072 Dec 11 05:40 sbin/ drwxr-xr-x 30 root root 3072 Dec 11 05:37 etc/ drwxrwxrwt 3 root root 1024 Dec 11 05:00 tmp/ drwxr-xr-x 21 root root 1024 Dec 11 04:14 var/ drwxr-x--- 3 root root 1024 Dec 11 02:03 root/ drwxr-xr-x 18 root root 1024 Dec 9 15:44 ./ drwxr-xr-x 18 root root 1024 Dec 9 15:44 ../ drwxr-xr-x 6 root root 34816 Dec 8 23:41 dev/ drwxr-xr-x 18 root root 4096 Dec 7 05:28 home/ drwxr-xr-x 3 root root 1024 Dec 6 14:14 boot/ drwxr-xr-x 5 root root 1024 Dec 6 10:29 mnt/ drwxr-xr-x 2 root root 2048 Dec 6 10:21 bin/ drwxr-xr-x 4 root root 3072 Dec 6 10:21 lib/ drwxr-xr-x 21 root root 4096 Dec 6 10:20 usr/ drwxr-xr-x 2 root root 12288 Dec 6 10:13 lost+found/ dr-xr-xr-x 72 root root 0 Dec 6 09:13 proc/ drwxr-xr-x 2 root root 1024 Aug 23 1999 opt/ jsn:/# cd /., jsn:/.,# ls -alF total 33 drwx------ 2 501 501 1024 Dec 11 05:44 ./ drwxr-xr-x 18 root root 1024 Dec 9 15:44 ../ -rw------- 1 root root 492 Dec 9 17:38 .bash_history -rw-r--r-- 1 root root 24 Dec 9 15:44 .bash_logout -rw-r--r-- 1 root root 230 Dec 9 15:44 .bash_profile -rw-r--r-- 1 root root 124 Dec 9 15:44 .bashrc -rwxr-xr-x 1 root root 333 Dec 9 15:44 .emacs* -rw-r--r-- 1 root root 3394 Dec 9 15:44 .screenrc -rwxr-xr-x 1 501 501 7831 Dec 9 16:21 fame* -rwxrwxr-x 1 root root 12654 Dec 9 16:21 rh* jsn:/.,# cat .bash_history cd /home/httpd/html ls pico ls mv index.html ., mv ezs.html index.html mv ., ezs.html rm index.html pico ls who pico make fame ls rm fame.c make rh ./rh chmod +x fame ./fame 209.125.201.200 ./fame 209.125.201.38 ./rh rm *.c ./fame 209.125.253.195 ./fame 203.251.0.90 ./fame 203.251.21.1 ./fame 203.251.0.90 ./fame 203.251.21.1 ./fame 203.251.173.10 ./fame 203.251.183.112 cd /home/httpd/html ls rm index.html mv ezs.html index.html mv index.html ., echo "this is lame." >> index.html cd ./rh jsn:/.,# fame 과 rh 가 뭐하는 놈일까... 소스파일은 지워버렸는데, Disk 복구 솔루션을 이용하면 복구가능하지 않을까... (웹로그 때문에 엎어쳤겠군..) 어디로 다시 공격하고 있었나? 209.125.201.200 209.125.201.38 Eventide, Inc. (NETBLK-ATWORK-EVENTIDE) 638 Mountain Road Kinnelon, NJ 07405 US Netname: ATWORK-EVENTIDE Netblock: 209.125.201.0 - 209.125.201.255 Coordinator: Factor, Richard (RF68-ARIN) rcf@eventide.com 201-641-1200 209.125.253.195 RETAIL RESOURCES, LP (DSL REPLACEMENT) (NETBLK-ATWORK-55608-49022) 221 W. 57TH STREET, 2ND FLOOR NEW YORK, NY 10005 US Netname: ATWORK-55608-49022 Netblock: 209.125.253.192 - 209.125.253.255 Coordinator: CESLER, ROBERT (RC1296-ARIN) ROB@RRLP.COM 212-509-5483 아래는 국내 서버들인데, .... 203.251.0.90 : 서울 한국통신 203.251.21.1 : 대전 한라공조 전산실 203.251.173.10 : 서울 샘표식품 203.251.183.112 : 서울 웅진출판서 여러 정황으로 보건데, 웹서버로그에 남아 있던 IP 209.63.9.37 이 크래커의 IP일 가능성이 더욱 높아 졌다. 209.63.9.37 CDS Networks (NETBLK-ELINETBLK-CDSNET) 2661 South Pacific Highway Medford, OR 97501 US Netname: ELINETBLK-CDSNET Netblock: 209.63.8.0 - 209.63.15.255 Maintainer: CDSN Coordinator: Mathisen, Jaye (JM468-ARIN) mrcpu@CDSNET.NET 503-773-9600 (FAX) 541-773-1832 이제 그만 자야겠다..... ------------------------------------------------------------------------------- 2001.12.11 07:40 fame, rh ? 그렇구나, 직접 실행시켜 보면 되겠구나... jsn:/.,# ls -alF total 33 drwx------ 2 501 501 1024 Dec 11 05:50 ./ drwxr-xr-x 18 root root 1024 Dec 9 15:44 ../ -rw------- 1 root root 492 Dec 9 17:38 .bash_history -rw-r--r-- 1 root root 24 Dec 9 15:44 .bash_logout -rw-r--r-- 1 root root 230 Dec 9 15:44 .bash_profile -rw-r--r-- 1 root root 124 Dec 9 15:44 .bashrc -rwxr-xr-x 1 root root 333 Dec 9 15:44 .emacs* -rw-r--r-- 1 root root 3394 Dec 9 15:44 .screenrc -rwxr-xr-x 1 501 501 7831 Dec 9 16:21 fame* -rwxrwxr-x 1 root root 12654 Dec 9 16:21 rh* jsn:/.,# ./rh Logs have been cleaned! syslogd restarted! 억... log 파일을 지운 녀석이 이놈이군... rh 는 아마 red hat 의 약자겠지? jsn:/.,# last wtmp begins Tue Dec 11 07:43:26 2001 "fame"은 뭘까.... jsn:/.,# ./fame Omniback II *: remote exploit by DiGiT - teddi@linux.is Gives possibility to execute any command on a remote system as root! Usage: ./fame hostname 흠흠흠.... hacker 가 뉴욕으로 ./fame 209.125.201.200, ./fame 209.125.253.195를 시도했으니 Alldas.de 보안업체에서 곧바로 알아차렸겠군... 루마니아와 대만에서는 어떻게 곧바로 알았을까... 무섭군.... ------------------------------------------------------------------------------- 2001.12.11 08:20 HP OpenView OmniBack II generic remote exploit http://www.securiteam.com/exploits/6M00O150KG.html 자바서비스넷 이원영 ------------------------------------------------------------------------------- 제목 Re: Security Incident Last Report(www.javaservice.net) 보낸날짜 2002년 02월 01일 금요일, 오전 11시 20분 15초 +0900 보낸이 "knight" <ch3cooh@knight.ce.knu.ac.kr> 받는이 이원영 <javaservice@hanmail.net> 형! 고생이 많네요! 흐미 늦었지만... jsn:/.,# ls -al total 33 drwx------ 2 501 501 1024 Dec 11 10:20 ./ drwxr-xr-x 18 root root 1024 Dec 11 10:21 ../ -rw------- 1 root root 492 Dec 9 17:38 .bash_history -rw-r--r-- 1 root root 24 Dec 9 15:44 .bash_logout -rw-r--r-- 1 root root 230 Dec 9 15:44 .bash_profile -rw-r--r-- 1 root root 124 Dec 9 15:44 .bashrc -rwxr-xr-x 1 root root 333 Dec 9 15:44 .emacs* -rw-r--r-- 1 root root 3394 Dec 9 15:44 .screenrc -rwxr-xr-x 1 501 501 7831 Dec 9 16:21 fame* ==> ***** -rwxrwxr-x 1 root root 12654 Dec 9 16:21 rh* fame을 직접 실행 시켜 뭘로 공격하나 해서 tcpdump로 관찰 했는데.. [root@ns /]# tcpdump -i eth0 -vv | grep 211.53.127.180 Kernel filter, protocol ALL, datagram packet socket tcpdump: listening on eth0 10:49:11.119681 < 211.53.127.180.2623 > ns.knu.keumkyungyun.com.5555: S 2268633 268:2268633268(0) win 32120 <mss 1460,sackOK,timestamp 42036548 0,nop,wscale 0> (DF) (ttl 56, id 40461) 10:49:11.119715 > ns.knu.keumkyungyun.com.5555 > 211.53.127.180.2623: R 0:0(0) ack 2268633269 win 0 (DF) (ttl 255, id 0) 10:49:11.142926 < 211.53.127.180 > ns.knu.keumkyungyun.com: icmp: 211.53.127.18 0 tcp port 2623 unreachable Offending pkt: ns.knu.keumkyungyun.com.5555 > 211.5 3.127.180.2623: R 0:0(0) ack 1 win 0 (DF) (ttl 247, id 0) [tos 0xc0] (ttl 247, id 40462) 10:49:14.106268 < 211.53.127.180.2623 > ns.knu.keumkyungyun.com.5555: S 2268633 268:2268633268(0) win 32120 <mss 1460,sackOK,timestamp 42036848 0,nop,wscale 0> (DF) (ttl 56, id 40499) 10:49:14.106292 > ns.knu.keumkyungyun.com.5555 > 211.53.127.180.2623: R 0:0(0) ack 1 win 0 (DF) (ttl 255, id 0) 10:49:14.121148 < 211.53.127.180 > ns.knu.keumkyungyun.com: icmp: 211.53.127.18 0 tcp port 2623 unreachable Offending pkt: ns.knu.keumkyungyun.com.5555 > 211.5 3.127.180.2623: R 0:0(0) ack 1 win 0 (DF) (ttl 247, id 0) [tos 0xc0] (ttl 247, id 40500) 10:49:20.105209 < 211.53.127.180.2623 > ns.knu.keumkyungyun.com.5555: S 2268633 268:2268633268(0) win 32120 <mss 1460,sackOK,timestamp 42037448 0,nop,wscale 0> (DF) (ttl 56, id 40512) 10:49:20.105247 > ns.knu.keumkyungyun.com.5555 > 211.53.127.180.2623: R 0:0(0) ack 1 win 0 (DF) (ttl 255, id 0) 10:49:20.120000 < 211.53.127.180 > ns.knu.keumkyungyun.com: icmp: 211.53.127.18 0 tcp port 2623 unreachable Offending pkt: ns.knu.keumkyungyun.com.5555 > 211.5 3.127.180.2623: R 0:0(0) ack 1 win 0 (DF) (ttl 247, id 0) [tos 0xc0] (ttl 247, id 40513)