-----------------------------------------
답변자가 기본적으로 참고할 내용입니다.
- 배포판(옵션)    : 
- 커널버전(옵션)
  : 
- 데몬버전(예:apache
 1.3.27) : 
- 데몬설치유형(RPM/컴파일/기타)
 : 
-----------------------------------------
*중요:한글 문자가 하나도 없으면 스팸페이지로
이동합니다(스팸
 필터링).


시스템이 굉장이 느려지고 로드가 50을 넘어서니까

pstree 보니

perl 프로세스가 무려 65개
top 명령어를 보니까 죄다 
perl 투성이

netstat -nlp
포트 검사를 해보니까

저희 서버에 알수 없는 포트들이 엄청나게 열려져 있네요.

perl 프로세스를 전부 죽이니까

정상화 되기는 했는데 영 찜찜합니다..

바로 몇시간전에 이 서버에 대한
udp_flooding 공격에 메일을 받았는데~


저희 서버가 공격 당하고 있는줄 알았는데 공격을 하고 
있다고 하더군요.. 

ㅡㅡ;;

난감합니다.

이럴때는 어떻게 해야 하지요?

ps) 방금 /tmp 파일을 보니 이상한  txt파일이 보입니다.
perl 스크립트 되어 있는데 
소유권이 apache로 되어 있는게 방금 실행된 스크립트가
요놈이네요

딱 보니 음흉스럽게 생긴게 udp 공격 스크립트 같습니다.
이걸 어쩌죠?

밑에 스크립트 내용의 일부입니다.

제가 궁금한것은 이런 파일들을 제 서버에서 실행되지 못하게 
그리고 올려 놓지도 못하게 원천적으로 막는것입니다.


#!/usr/bin/perl
# |_|0|_|
# |_|_|0|
# |0|0|0|
#
#
# Scan command : 
# !Morgan !eval @gstring='google%20dork';
# !Morgan @rfiscan vulnfile.php?vulnvar=
#
# DDoS commands :
# Udp : !Morgan @udp IP packet-size time
# Tcp : !Morgan @tcp IP port time
# Http: !Morgan @httpwww.website.com time 
# 
# Greets to :
# nobody 
#
#
# Enjoy the bot ....