아침부터 mysql 접속이 안된다는 문자를 받고… 부랴부랴 피씨방으로 달려와서 보니… bindz 라는 백도어가 실행되어 있었고… 그 백도어를 통해서 엄청난 수의 이메일을 발송하고자 해서… 발송지체된 메일들로 인해 var 파티션이 가득 차버린게 문제!!

어제는 일어나자마자 어무이한테 잡혀서 인천 외할머니댁에 끌려왔기 때문에 몇 달만에 컴퓨터에서 떨어져 있었는데 하필이면 그런 날 이런 일이 생길 줄은;;

뭐 하튼 php 업로드 관련된 취약점을 통해서 /tmp/bindz 를 만들고 그걸 실행시켜서 포트하나를 열고 아파치 권한의 쉘이 원격으로 노출된 듯…

safe_mode 를 키고 /usr/bin 에 있는 것 말고는 실행이 안되게 막는 것으로 어느 정도 해결이 될 듯 싶었지만… tt 와 zeroboard 가 문제가 생긴다고 한다… tt 는 업로드가 안되는 문제가 있고 zeroboard 는 세션 관련 에러…

뭐 아쉽지만 safe_mode 를 포기하고… 구글님께서 가르쳐 주신 iptables rule 을 추가하고, tmp 용으로 파티션을 하나 새로 생성해서 noexec 옵션과 함께 마운트 하는 방법으로 뗌빵해버렸다…

acl 을 쓸 일이 있을까 싶어서 filesystem 에 acl support 를 활성화 시켜놓지 않았었는데… 아무래도 찝찝해서 커널을 새로 컴파일하고 coreutils 같은 것들을 acl 을 지원하도록 새로 컴파일 하고… sh, bash 등을 apache 권한으로 실행시키지 못하도록 막아버렸다… -_-v

perl 을 cgi 모드로 사용하는 사람들도 없는 것 같고 하니… perl 을 cgi 모드로 사용하는 것은 기본으로 막아버리고 perl, python 도 acl 로 apache 사용자는 실행하지 못하도록 바꿔버릴까 싶다 -_-;;

하튼 이런 일을 겪고 보니 상당히 찝찝하다…