NEW Nmail PHP 3 업그레이드 할인
자세히 보기

Nmail ASP 서비스 종료 안내(EOS)

Nmail ASP (nWmail, Nmail Server) 제품은 유상 유지보수를 포함한 모든 서비스가 종료되었습니다.

해커에게 완전 당했습니다!

원*진 2004.04.01 15:50 조회 931

※ 필수입력정보 ※

▷ 제품버젼 :
▷ 사용중인 주소(URL) : http://
▷ 문제발생시 메뉴/주소 :
▷ 문제발생시 에러메세지
:

▷ 질문내용
: 리눅스 서버가 두개 있는데 한 서버는 엔빌더와 엔메일(이하 서버1)을 사용하고 다른 한 서버는 엔빌더와 엔메일이 없는(이하 서버2) 동등하게 설정되 있습니다. 그런데 서버1은 오늘로써 두번째 해킹을 당합니다. 해커들이 한 문제를 설명하겠습니다:

1. 새 유저와 그룹을 생성한다.
2. 서버를 재시작 못하게 한다 (shutdown -r now).
3. Name Server까지도 항목을 추가한다.
4. SSH로 접속을 하여 결국 root 어카운트까지 점령한다.
5. root의 비밀번호를 바꿔버린다.
6. 다른 기타 서비스들을 멈춰버린다.
7. 전송률을 최대 98.7mbps까지 사용한다. (최대 100mbps NIC)
8. ircd라는 process를 사용한다.
9. hostname을 "hehe" 라는 이름으로 바꾸며 약올린다.
10. /dev/ha 라는 ha 유저에 home directory를 만들어 디렉토리 안에 ptrace (약 418KB 사이즈)라는 파일이 있다.

이것 외에 많은 문제를 잃으키며 이번이 벌써 한달도 안되 두번째 입니다. 하지만 다른 한 서버는 같은 네트워크에 있는데도 절대 해킹을 당하질 않습니다. /var/log/secure 파일을 보아도 역시 마찬가지로 해킹시도가 있는데도 불구하고 서버2는 뚫질 못하지만 서버1은 지네집 드나들듯이 자유롭게 해킹합니다.

혹시 엔빌더나 엔메일에 보안 문제가 있는게 아닌지 싶습니다. 이젠 서버 호스팅 회사에 연락해 포맷/재설치 등의 이메일 보내는것과 리눅스를 다시 다 세팅하고 엔메일, 엔빌더 등을 설치하여 웹디자인을 새로 하는 일이 너무나도 싫습니다. 이놈의 해커들을 잡아 줘패주고 싶습니다. tracert를 하여 해당 IP들을 찾아내어 해당 ISP 회사에 신고를 하였습니다.

Passkorea 여러분들도 한번 이 문제에 대해서 자세히 확인을 해보아 주세요. 엔빌더와 엔메일을 의심하고 싶진 않지만 자꾸 이럴 수 밖에 없는게 두 동등한 서버에서 하나는 해커들이 못 뚫는데 엔빌더와 엔메일이 설치된 서버는 자유롭게 뚤리는게 너무나도 수상합니다.

/var/log/secure 등에서 추출한 해커들 IP 주소만 해도 30개가 넘습니다. 또 서버1에 대한 포맷/재설치 신청을 해야하나 그래봤자 또 해킹이 당할게 뻔하여 이렇게 글을 올립니다.

댓글 2
이전 글 서버스 관리자에 등록된 서비스가 자꾸 중지됩니다. 1 궁*이 2004.04.01
다음 글 테스트로 받아서 설치중인데요...(메일송수신불능) 1 김*용 2004.04.01