English

◀◁ 뒤로 취약점ID 24025 위험도 40 포트 6723, … 프로토콜 TCP 분류 BackDoor 상세설명 해당 서버에 mstream handler가 가동되고 있다. 이 프로그램은 시스템을 제어하면서 또다른 네트워크를 공격하는데 사용되는 백도어이다. Mstream 프로그램은 "stream.c" 공격에 기반을 둔 분산 서비스 거부 공격용 툴로 "handler"와 "agent"로 구성된다. Handler는 모든 agent들에 대한 제어권을 갖고 있는 툴의 부분이다. Attacker는 agent들을 제어하기 위해 telnet을 이용하여 handler에 접속하며 client, handler, 그리고 agent 간의 통신은 암호화되지 않는다. 이 분산 공격 방법은 네트워크 bandwidth의 사용율을 엄청나게 증가시키며 동시에 CPU 사용율도 증가시킨다. * 참고 사이트: http://www.iss.net/security_center/static/4370.php http://www.iss.net/security_center/alerts/advise48.php * 영향을 받는 플랫폼: Linux Any version Unix Any version 해결책 해당 서버는 이미 해커에 의해 침투 당했으므로 백도어 제거 및 시스템의 보안상태를 전체적으로 점검할 필요가 있다. 백도어 제거를 위해서 먼저 lsof를 이용하여 시스템 상에 있는 Mstream handler 혹은 agent의 위치를 찾아야 한다. secuiSCAN에 의해 탐지된 포트는 lsof를 이용하여 실행파일의 위치를 찾을 수 있는 단서가 된다. Mstream handler 혹은 agent의 위치를 찾은 후에는 그 프로세스들을 kill 시키고 실행파일들은 삭제해야 한다. 또한 침투당한 나머지 agent 시스템들을 찾기 위해서 handler에 등록된 agent 시스템들의 위치를 찾아야 한다. 1. Lsof를 이용하여 시스템 상의 mstream handler 혹은 agent의 위치 찾기 ① handler 실행파일 사용하고 있는 port 번호("6723")로 다음과 같이 명령을 타이핑한다. [root@mars]# lsof -i TCP:6723 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME master 7731 root 3u IPv4 343643 TCP *:6723 (LISTEN) ② 1번에서 찾아진 프로세스명("master")으로 다음과 같이 명령을 타이핑한다. [root@mars]# lsof -c master -a -d txt COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME master 7731 root txt REG 3,5 66221 2334456 /home/hero/mstream/master 2. 프로세스를 kill 시키고 실행파일 삭제 ① 'kill' 명령어와 프로세스 ID ("7731")을 이용하여 프로세스를 kill 시킨다. ② mstream 실행파일 ("master")을 삭제한다. 3. Handler에 등록된 모든 agent 시스템의 위치 파악 ① Agent들의 모든 IP 주소의 암호화된 리스트를 가지고 있는 "..." 혹은 ".sr" 파일의 위치를 찾는다. ② 다음과 같이 shell 명령을 이용하여 파일을 복호화한다. [root@mars]# cat ... | tr 'b-k`' '0-9.' | sed 's/<$//' 4. 공격에 대한 확산을 막기 위하여 CERT나 관련 기관에 신고하여야 한다. 관련 URL CVE-2000-0138 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)