U E D R , A S I H C RSS

Zero Page Server/About Cracking

Server Cracking 관련 기록. 주로 무식한 서버 관리자 NeoCoin 에 의한 진실의 고백 ;;
----

1. 2002 년 중반 제기된 무한 트래픽 Cracknig 관련 보고

(해당 기록을 정확하게 남기지 않아, 시간순 기억 대로 기술)
  1. ZeroPageServer/set2002_815 로서 debian 계열의 환경을로 ZeroPageServer 세팅
  2. 문제 제기 : 한달후에 전산센터->용철 로 보안 권고 ip block
  3. 전산센터 찾아가 확인 ipblock 풀고, 점검
    • 증상 : ZeroPageServer 에서 무한 데이터가 random ip 로 전송. 감시 동안 수천 packet 이상 통계 확인
      • 평소 16~30% 의 전산센터 게이트 웨이 자원 99% 까지 올리는 공헌. 학교에서 외부 으로가는 네트웍 마비
    • 점검 : 이상 계정 찾기, 네트웍 확인, security update

  4. 다음날 NeoCoin 의 계정에서 (root 말고) 무한 트래픽 발생 프로그램 발견
  5. 분석 : 세팅 과정에서 설치를 위한 wu-ftp 패키지 서비스를 한달간 제공하였는데, 설치 문제로 가장 자주 사용할 NeoCoin 이 걸려 든것 같음
  6. 해결 : 해당 프로그램 갈무리, NeoCoin 의 암호 변경, wu-ftp 서비스 제거. 그 이후 문제 상황 사라짐
  7. 배운점, 알게된점
    • 교내의 리눅스, 솔라리스 서버상에 크래킹이 비일비재 하다는점
    • 전산센터 분들이 친절하다는 점과, 불행히 보안쪽에 지식이 부족하여 사실만을 알려주실수 있다는 점
    • cracking 한 사람이, 서버상의 NeoCoin 의 data를 지운것이 아니라서, 다행 하지만 역시 불안.
    • web analizer 를 설치한 계기가 되었다. ( http://zeropage.org/log ) 재미있음

2. 2002 년 말부터 2003 년 초 제기된 스팸 메일 발송 Cracking 관련 보고

2.1. 1차 제기, 대응

  • 2002-12-22 임구근(구근 98) 자유게시판 Spam 메일 rely 보고.
    • 2002-12-17 권고메일
    • 대응: mail 관련 서비스 port 막고, smtp 서버 없는 것 확인
  • 2003-12 말 : 전산센터 측에서 ip block
  • 2003-01-06 : 전산센터에 문의하여 ip 풀고, 서버 점검, 정확한 문제는 찾지 못함.
    • 대응 : 서버를 rebooting 후에는 문제가 특별히 발생되지 않음

2.2. 2차 제기 대응

  • 2003-02-10 : KISA -> 전산센터 -> 용철 -> 정희록(nautes) 경로로, 문제 제기 Server shutdown
  • 2003-02-13~15 : 문제 분석, 토론
    • ZeroPageServer on
    • mail 관련 app 서비스 관련 막기 ( 기타 app 의 mail port )
    • 2003-02-08, 09 즈음에 squid 를 이용한 proxy 서비스를 제공했다는 것을 기억. spam 샘플 몇통중 해다 suqid 사용 계정 id가 있었다는 점 기억 -> squid 동작 이후 spam신고 접수 된 것으로 가정
      • 해당 프로그램 테스트. 문제 상황을로 보이는 상태 발견
      • 증상 : 개인 개정에 기본 설정의 설치된 squid 2.4 stable tar 의 proxy 서비스를 최초로 사용한 후 얼마 지나지 않아, 알수 없는 메일 서버로(port 25) 데이터가 날아가는 mail rely 증상 보임
        • squid 의 기본 port 를 바꾸면 이러한 증상 없어 졌음
      • 1002가 squid 관련 문제로 문서 발견. 그 동안 Server의 비교적 잦은 rebooting 때문에 문제가 드러나지 않았음.
  • 2003-02-15~ : squid 로 결론, 문서 정리 이후 감시

  • 배운점
    • 스트레스 받지 말자
    • netstat 만으로도 쓸모 있게 찾을 수 있음
    • 새로운 프로그램 설치 후 라는 시점을 의심해 보자. 가장 기본적인 세팅에 stable 최신 버전 오픈 소스라도 말이다.
    • 개인 차원에서의 관리자가 모르는 지속적인 서비스의 위험성. 만약, squid 를 몰랐다면, 이 문제는 다시 한두달 갔을 것 같다.
    • 도움 주신 동희씨 석천(1002), 신경써주신 용철이 형께 감사 드립니다. --NeoCoin

  • 3. Thread

    4. 2003. 2. 13 테스트 이후

    • 문제 : 서버를 가동하고 나서 얼마 후에 spam 메일이 지속적으로 발송된다.
      • 의심 되는 부분:
        • 모 회원 계정의 squid 를 들수 있다. netstat 로 상태를 살피면, 기본 squid 세팅으로 proxy 를 이용하면, 상대의 smtp port인 25 번으로 계속 뭐가 발송되었다. 기본 세팅 변경후에 그 발송되는 상태가 없었다. 하지만, squid 로 이렇게 된다는 것이 보고된 사례를 찾지 못했고, stable 버전 자체에 그런 기능이 숨어 있다는 것은 생각하기 어렵다.
          보통 squid를 통한 스팸릴레이는 스퀴드 8080 포트를 통해서 아이피만 바뀌고 보내는건 다른 서버에서 보내는데, 직접 25번이 나간다는건 참 이상하구요.(있을수 없는일이라 생각하시면 돼요. 스퀴드 변형 버전에서 그런 기능을 추가하기는 하는데 ^^; ) squid가 smtp랑 별 상관이 없는데, 특히 데비안 우디(?) 버전 squid패키지가 8080 통한 계정없는 외부 릴레이하고 (웹을통한)메일릴레이가 기본적으로 안되거든요. 소스로 설치했다면 모르겠네요 ^^;--동희
          • 제가 위의 말을 정확하지 않게 썼습니다. 그리고, 동희씨의 말씀대로, 소스로 설치했다면 모르겠네요. 에 해당 합니다. 상대의 smtp port 25으로 데이터가 전송되고 있다는 것이었습니다. 그럼 어디선가 이 서버의 squid 기본 세팅 포트로, relay 를 계속하고 있다는 의미도 되는것 같군요. 혹은, 8080이나, 80을 사용한다는 것인데 각각, resin 과 apache가 사용하고 있어서 잘 모르겠습니다. 제가 이런 분야의 지식이 부족해서요. --NeoCoin
            아 squid가 3128이 기본 포트인것 같네요 ^^; 햇갈리었어요. (8080도 쓰긴 하지만,) 상대방의 port 25번으로 간다면, 아마 squid설정으로 막을 수 있어요. 영 맘이 안놓이시면 ipfilter 프로그램으로 막으면 확실하죠.--동희
            그렇다면, 이 문제가 원인이 확실한것 같군요. 테스트상 port 를 바꾸자, 정상적으로 동작하는 state 를 보여주었거든요. --NeoCoin

      • 만일 현재의 squid 가 Cracking상태라면, squid 의 셋팅을 수정하더라도 여전히 똑같이 문제가 발생해야 정상일 것이다. 그런데 셋팅 변경후 그 발송되는 상태가 사라진다는 점이 더욱더 상황을 혼란스럽게 한다. 재미있는 점은, 그럼에도 가장 명확하게 기본 포트의 상황에서, 다른 메일 서버로 메일을 가는 것이 보인다는 점이다.

    • 서버가 몇번 정전을 맞은 이후, squid 를 실질적으로 사용한 예는, 일요일 이다. spam이 뿌려진 정확한 날짜를 알면, 비교 할수 있지 않을까?
    ----
    ZeroPageServer
    Valid XHTML 1.0! Valid CSS! powered by MoniWiki
    last modified 2021-02-07 05:28:31
    Processing time 0.0329 sec