관련 기사
https://www.boannews.com/media/view.asp?idx=108479
참고한 블로그
https://www.lesstif.com/system-admin/chmod-setfacl-operation-not-permitted-20776551.html
해킹 증상
- CPU 사용률이 50%이상
- 일반 유저가 sudo 설정되어 있었음
- crontab에 다수 명령어 등록되어 있었음 (crontab -l 확인)
- cron.d, cron.daily, cron.houly, cron.weekly, cron.monthly 에 pwnrig가 모두 등록되어 있었음
- ntpdate에 pwnrig 관련 명령어가 추가되어 있었음
- 특정 프로세스를 숨기는 ***.so 파일이 /usr/lib 아래에 있었음
- pwnrig 관련 프로그램을 삭제하려 하면 immutable bit 으로 인해 삭제가 막혀있었음
(https://www.lesstif.com/system-admin/chmod-setfacl-operation-not-permitted-20776551.html)
- chkconfig 로 확인 시 pwnrig가 시작프로그램에 등록되어 있었음
'OS > 해킹, 보안취약점' 카테고리의 다른 글
| [보안취약점] Content Security Policy (CSP) 보안취약점 (0) | 2024.04.15 |
|---|---|
| [해킹방지] SSH 접속 이력 확인하기 (0) | 2023.01.16 |
| 가상화폐 채굴 해킹 조치 - SSH 무작위 대입 공격 (0) | 2021.06.30 |
