English

◀◁ 뒤로 취약점ID 24021 위험도 40 포트 31337, .. 프로토콜 TCP 분류 BackDoor 상세설명 해당 원격지의 포트에는 Shell 백도어나 혹은 사용자 입력을 받는 어떤 유형의 Shell 스크립트가 작동하고 있는 것으로 나타난다. 이들은 원격지의 공격자가 시스템 내의 임의의 명령을 수행시킬 수 있도록 해 준다. 해당 포트 데몬이 백도어라면 공격자들에 의해 설치되었을 수 있다. 그렇지 않다면 그 원격지의 포트에서 작동하고 있는 응용 프로그램은 사용자 입력에 대해 '`', '', '|'와 같은 Shell 메타 문자들을 걸러내지 못하고 있다. * 영향을 받는 플랫폼: Linux Any version Unix Any version 해결책 해당 포트 대몬이 백도어라면 그 컴퓨터는 완전히 해커에 의해 침입을 당했다는 것을 의미하며 네트웍 혹은 인터넷으로부터 접속을 차단해야 한다. Inetd.conf 파일로부터 백도어를 찾아내기 위해서는: 1. 'vi' 와 같은 편집기를 이용하여 inetd.conf 파일을 오픈한다. 2. '/usr/bin/sh' 이나 '/bin/sh' 을 포함하는 라인이 있다면 inetd.conf로부터 해당 라인을 제거한다. 3. 'inetd' 대몬을 재가동하기 위해 다음 명령을 타이프한다: kill -1 INETD_PID lsof를 이용하여 시스템 상의 백도어를 찾아내기 위해서는: 1. 백도어 실행파일이 사용하는 포트번호 "port"로 다음 명령을 타이프한다: # lsof -i TCP:port COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME backdoor 2362 user1 3u IPv4 721759 TCP *:port (LISTEN) 2. 1 단계에서 찾아진 프로세스명 "process"로 다음 명령을 타이프한다. 그리고 실행파일의 경로명을 찾는다: # lsof -c backdoor -a -d txt COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME process 2362 user1 txt REG 8,1 22385 30111 /home/user1/process 컴퓨터가 ramen과 같은 인터넷 웜에 감염되어 있을 수 있으므로 필요시 운영체제를 완전히 새로 설치하는 것이 좋다. -- 혹은 -- 해당 포트 대몬이 애플리케이션이라면 모든 Shell 메타 문자들을 걸러내도록 수정하거나 신뢰성없는 네트웍으로부터 해당 포트으로의 접속을 차단해 놓아야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)