커피닉스, 시스템 엔지니어의 쉼터 - 커피향이 나는 LINUX/UNIX 세계

글쓴이 : 좋은진호 (


	[ 이전화면 / 수정 ] 비밀번호 :
	제 목 : Linux/OSF-8759 웜 바이러스 치료 예 작성자 : 좋은진호(truefeel, http://coffeenix.net/ ) 작성일 : 2003.8.26(화) 아는 분의 서버에 이상현상이 있다고 하여 확인해봤는데, ps 했을 때 ls가 계속 띄워져있었다. 또한 netstat -aunp했을 때 UDP 3049 포트도 열려 있었다. 바로 Linux/OSF-8759 (웜)바이러스가 동작하고 있던 것이다. 색다른 경험의 시작이었다. Linux/OSF-8759 바이러스의 특징은 - UDP 3049 포트 또는 그 이상의 포트를 백도어로 열어두고 - ELF 실행파일을 감염하며, 파일 크기를 8759bytes 증가 시킨다. - "ps"로 끝나는 파일은 감염시키지 않는다. <- 문제 해결의 핵심이 될 수 있음 virus scanner, detector의 파일명은 ps 로 끝나도록 해라 - uptime이 5분 이내일 경우에는 바이러스가 동작하지 않는다. 정확히 5분이 지나면 3049 포트가 열린다. --------------------------------------------------------------- # netstat -aunp Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name ... 생략 ... udp 0 0 0.0.0.0:3049 0.0.0.0:* 32133/ls ... 생략 ... --------------------------------------------------------------- kill -9 32133 을 해도 또다시 ls, netstat 등의 프로그램에 의해 해당 포트가 열렸다. 1) 우선 AntiVir를 설치해서 스캐닝해보았다. 그런데 antivir 를 실행하는 순간 211 오류를 발생하면서 종료되었다. 즉, ls 나 mv, cp 등의 명령이 이미 걸려있는 상태이므로 /usr/lib/AntiVir 디렉토리 에서 ls만 해도 antivir까지 감염된 것이다. 조심스럽게 다시 설치하고 antivir --allfiles -s / 엄청난 개수의 실행파일(/bin, /usr/bin, /sbin, /usr/sbin 의 거의 모든 파일)이 걸려있었다. --------------------------------------------------------------- # antivir --allfiles -s / AntiVir / Linux Version 2.0.8-1 Copyright (C) 1994-2003 by H+BEDV Datentechnik GmbH. All rights reserved. Loading /usr/lib/AntiVir/antivir.vdf ... ... 생략 ... /bin/ln Date: 9.08.2001 Time: 22:01:19 Size: 29107 ALERT: [Linux/OSF-8759 virus] /bin/ln <<< Contains signature of the Linux virus Linux/OSF-8759 /bin/ls Date: 9.08.2001 Time: 22:01:19 Size: 54707 ALERT: [Linux/OSF-8759 virus] /bin/ls <<< Contains signature of the Linux virus Linux/OSF-8759 ... 생략 ... --------------------------------------------------------------- antivir --allfiles -s -e / 로 치료를 하려 했으나 정상적으로 되지 않았다. 2) 그래서 Linux/OSF-8759 전용 크리너로 치료 하기로 했다. http://packetstormsecurity.nl/trojans/clean-osf.8759.tgz --------------------------------------------------------------- # tar xvfz clean-osf.8759.tgz # cd clean-osf.8759 # ./clean-osf.8759-ps * Linux/OSF-8759 Virus Cleaner * by Druid * Greetz: vMatriCS + Casper & the other Dionis admins ./clean-osf.8759-ps: no targets specified Scan a list of files/dirs for the Linux/OSF-8759 virus and desinfect them if the virus is found Usage: ./clean-osf.8759-ps [-s] [-v] [-r] [-l] [-f] [-x] [-p] path... -s Don't clean, just report infected files -v Prompt when a virus is found -r Don't recurse directories -l Follow symbolic links -f Don't go on other filesystems -x Scan only executable files (+x) -p Don't skip special dirs (/dev, /proc) --------------------------------------------------------------- ./clean-osf.8759-ps -v /bin 로 정상치료하는지 테스트. 완벽하게 치료하는 것을 확인 후에 전체 파일시스템을 치료했다. --------------------------------------------------------------- # ./c-ps -v /bin * Linux/OSF-8759 Virus Cleaner * by Druid * Greetz: vMatriCS + Casper & the other Dionis admins Scanning: /bin Infected: /bin/ping Clean (Yes / No / clean All / Clean none / eXit) ? a Infected: /bin/ping - DISINFECTED Infected: /bin/mail - DISINFECTED Infected: /bin/mktemp - DISINFECTED Infected: /bin/hostname - DISINFECTED Infected: /bin/netstat - DISINFECTED ... 생략 ... Scan ended *** Scan Results *** Your system was infected with Linux/OSF/8759! Thanks to this proggy the virus was removed ;) Directories : 1 Files : 70 Infected : 68 Cleaned : 68 Unknown : 0 --------------------------------------------------------------- 3) 여러 번의 치료와 OSF-8759 전용 크리너와 antivir으로 재차 확인하여 파일은 완벽하게 치료되었다. netstat -aunp로 UDP 3049 포트를 사용하는 프로세스는 kill 하였다.