'SKT 해킹' 경찰 본격 수사착수‥'BPF도어' 경고 있었는데 "몰랐다"
----- Linux 서버에서 BPF 도어 공격 자체 보안 점검해보는 방법들이 몇가지 올라와 있네요.
1. BPF 악성코드 공격자 접속 여부 확인하기 위해 특정 패킷에서 '0x7255', 0x5293', '0x39393939' 값이 유입되는지 필터를 걸어 실시간 확인 필요함
-- 사용 명령
ss -0pb | grep -EB1 --color "$((0x7255))|$((0x5293))|$((0x39393939))"
2. BPF 악성코드 내부에 공통적으로 ‘I5*AYbs@LdaWbs0’ 문자열을 포함하고 있어, 해당 문자열을 포함하고 있는 파일이 있는지 체크
-- 사용 명령
find / -type f -exec sh -c 'hexdump -ve "1/1 \"%.2x\" " {} 2> /dev/null | grep -q "c6459049c6459135c645922ac6459341c6459459c6459562" && echo {}' \;
3. BPF 악성코드가 작동하고 있는 서버에서는 OS 방화벽을 해제하고 42391~43391 포트를 개방하고 대기하고 있으므로, 해당 포트를 열고 대기하고 있는 서비스가 있는지 점검
-- 사용 명령
netstat -lpn | grep -E ':42[3-9][0-9] |43[0-3][0-9]'
11개의 댓글이 있습니다.
폐쇄망이라고 해서 안심할 수 없는 노릇이네요
좋은 정보 감사합니다.
참고 하겠습니다.
참고하겠습니다
점검 한번 해봐야 겠네요
참고하겠습니다.
점검 모드 ㅋ
정보 참고합니다.
해봐야겠네요..
내용 참고 하겠습니다.
추가적으로 아래 사항도 확인해보세요~
iptables/nftables 방화벽 설정도 점검하세요. (BPF 도어는 방화벽을 임의로 꺼버리는 경우가 있음.)
커널 모듈 리스트 (lsmod) 확인해서 이상한 이름 있는지 보기.
auditd 같은 감사 시스템 활성화해서 커널 접근 로그 추적.
예~ 맞아요.
OS 방화벽을 해제 시켜 버리고, 특정 포트를 열고서 해커의 원격 제어 접속을 대기하고 있다고 하네요.