psybnc

2014.02.19 13:12

소울 조회 수:7207

psybnc

psybnc 는 irc proxy가 맞습니다.

실행되는 동안에는 일정 트래픽을 공유하며 irc 사용자들에게 프록시 포트를 제공합니다.

 

외부에서는 리눅스 서버를 대상으로 무차별 대입법을 이용해 공격하는 봇(bot)들이 항상 작동하고 있습니다.

이러한 봇들은 십중팔구 악의적인 목적으로 작동되고 있다고 보시면 됩니다.

공격자는 이 봇들을 이용해 불특정 서버의 취약한 비밀번호를 가진 계정을 얻어 낸 후, 원하는 행동을 취한다는 것으로 알려져 있습니다.

 

질문자님께서 이전에 psybnc를 설치하신 기억이 없다면 제거하시기를 권장해 드립니다.

관리자 권한으로 아래의 명령을 수행하면 작동 중인 psybnc 프로세스를 강제 종료시킬 수 있습니다.

# killall -9 psybnc

 

그 다음에 아래의 명령으로 시스템에 존재하는 모든 psybnc를 삭제합니다.

# find / -name psybnc -exec rm -fv {} \;

 

발각된 테스트용 계정은 삭제해 주시고,

앞으로는 테스트용 계정이라도 복잡한 비밀번호를 사용하시기를 강력히 권장해 드립니다.

 

또한, 공격자가 테스트 계정으로 접속한 이후에 위의 행동 이외에 서버에서 어떠한 행동을 했는지

로그 파일들을 통해 반드시 확인해 보시기 바랍니다.

 

 

아래의 명령은 /proc, /sys, /dev를 제외하고 1시간 전까지 수정된 파일을 모두 검색하는 방법입니다.

# find / -mmin -60 | perl -ne 'print unless /^\/(proc|sys|dev)/'

 

아래의 명령은 /proc, /sys, /dev를 제외하고 2일 전까지 수정된 파일을 모두 검색하는 방법입니다.

# find / -mtime -2 | perl -ne 'print unless /^\/(proc|sys|dev)/'