[희심금강]님이
 남기신 글:

>-----------------------------------------
>답변자가 기본적으로 참고할 내용입니다.
>- 배포판(옵션)    : 
>- 커널버전(옵션)
  : 
>- 데몬버전(예:apache
 1.3.27) : 
>- 데몬설치유형(RPM/컴파일/기타)
 : 
>-----------------------------------------
>*중요:한글 문자가 하나도 없으면 스팸페이지로
이동합니다(스팸
 필터링).
>
>
>시스템이 굉장이 느려지고 로드가 50을 넘어서니까
>
>pstree 보니
>
>perl 프로세스가 무려 65개
>top 명령어를 보니까 죄다 
>perl 투성이
>
>netstat -nlp
>포트 검사를 해보니까
>
>저희 서버에 알수 없는 포트들이 엄청나게 열려져
있네요.
>
>perl 프로세스를 전부 죽이니까
>
>정상화 되기는 했는데 영 찜찜합니다..
>
>바로 몇시간전에 이 서버에 대한
>udp_flooding 공격에 메일을 받았는데~
>
>
>저희 서버가 공격 당하고 있는줄 알았는데 공격을 하고

>있다고 하더군요.. 
>
>ㅡㅡ;;
>
>난감합니다.
>
>이럴때는 어떻게 해야 하지요?
>
>ps) 방금 /tmp 파일을 보니 이상한  txt파일이 보입니다.
>perl 스크립트 되어 있는데 
>소유권이 apache로 되어 있는게 방금 실행된
스크립트가
>요놈이네요
>
>딱 보니 음흉스럽게 생긴게 udp 공격 스크립트
같습니다.
>이걸 어쩌죠?
>
>밑에 스크립트 내용의 일부입니다.
>
>제가 궁금한것은 이런 파일들을 제 서버에서 실행되지 못하게

>그리고 올려 놓지도 못하게 원천적으로
막는것입니다.
>
>
>#!/usr/bin/perl
># |_|0|_|
># |_|_|0|
># |0|0|0|
>#
>#
># Scan command : 
># !Morgan !eval @gstring='google%20dork';
># !Morgan @rfiscan vulnfile.php?vulnvar=
>#
># DDoS commands :
># Udp : !Morgan @udp IP packet-size time
># Tcp : !Morgan @tcp IP port time
># Http: !Morgan @httpwww.website.com time 
># 
># Greets to :
># nobody 
>#
>#
># Enjoy the bot .... 

========================================

아파치 보안버그를 이용한 크랙 및 공격인것 같습니다.

우선

1. passwd 파일에서 이상한 계정이거나 시스템 계정임에도 불구
하고 암호(shadow)가 있는 계정을 조사해 보세요

2. 아파치 버전을 최신의 것으로 다시 설치합니다.

3. 아파치 설정파일에서 perl 관련 설정을 다시 한번 점검해
보세요.