올해 들어서 벌써 2번째 해킹사고가 발생하였다. 한번은 exim 이라는 SMTP를 통해서, 그리고, 어제는 apache+php 를 통해서 이루어졌다. 각기 다른 서비스를 통해서 당했지만, 해킹 형태는 비슷하였다. 해당 서비스의 취약점을 통해서 /tmp 디렉토리에 perl 스크립트를 심고, 데몬으로 돌려서 특정 사이트에 과다 트래픽을 발생시켜서 마비시키는 것이었다.
이를 해결하는 방법으로는 아래 소개한 여러 복잡한 방법이 있지만, 공통점은 perl 을 이용한다는 것이므로, 가장 간단한 방법은 perl을 삭제하여 없애버리는 것이다.
- http://blog.naver.com/PostView.nhn?blogId=nicegass&logNo=130033355546&redirect=Dlog&widgetTypeCall=true
- http://comefeel.com/tt/comefeel/entry/%EC%B5%9C%EC%8B%A0-%EC%9B%B9-%ED%95%B4%ED%82%B9%EC%97%90-%EB%8C%80%EC%9D%91%ED%95%98%EB%8A%94-%EB%B0%A9%EB%B2%95?category=13
- http://mahome.net/index.php?mid=security&document_srl=3343
- http://iamnotokay.tistory.com/173
- http://yris.thoth.kr/?mid=blog&category=288805&document_srl=290425
- https://www.sulinux.net/bbs/board.php?bo_table=qna_2&wr_id=6223&sfl=&stx=&sst=wr_datetime&sod=desc&sop=and&page=6
- http://blog.blueweb.co.kr/91
좀 더 구체적인 방법에 대한 연구는, 시간을 내서 다시 한 번 시도해봐야겠다. 일단 여기에서는 기록 차원에서 글을 남긴다.
으아 무시무시한 해결책이군요.
답글삭제Perl이 필수인 관리자라면 다른 해법을 찾아야겠죠. ^^
답글삭제예전에 리눅스 보안 관련해서 파티셔닝 하는 문서에 보면 /tmp 를 파티셔닝 하여 실행 퍼미션을 제외 하여 마운트 하는 방법이 있었습니다.
답글삭제