포항공과대학교 PLUS 오태호(PLUS015)

Presentation on theme: "포항공과대학교 PLUS 오태호(PLUS015)"— Presentation transcript:

1 포항공과대학교 PLUS 오태호(PLUS015) ohhara@postech.ac.kr
포항공대 해킹사고 사례 포항공과대학교 PLUS 오태호(PLUS015)

2 목차 사건 개요 해커들의 행동 해커들이 남긴 접속 기록 최근 해커들의 특징

3 사건 개요 1999/02/11 1999/02/22 1999/03/01 1999/03/06 누군가가 포항공대를 스캔
b***1에서 해킹 흔적 발견 1999/03/01 아주 많은 해커가 b***1에 접속 1999/03/06 mscan, sscan을 이용해 광범위하게 스캔

4 해커들의 행동(1) 1999/02/11 from 포항공대 전체를 대상으로 누군가가 스캔을 시도

5 해커들의 행동(2) 1999/02/22 08:47 from 63.10.2.104 ka0s b***1에 침입
mountd의 buffer overflow를 이용한 것으로 추정됨 rootkit을 설치(sniff, shell socket, ps, netstat, ls, etc) chattr 명령어를 이용 모든 rootkit관련 파일을 root도 지우거나 수정하지 못하게 설정하고 chattr명령어를 삭제

6 해커들의 행동(3) 1999/03/01 08:32 rewt (백도어 계정)
icle, aoadu, mortal2, asdf, jason이라는 계정을 만듬

7 해커들의 행동(4) 1999/03/01 08:40 from mortal2 eggdrop을 컴파일해서 설치 /etc/passwd 를 가져 가서 쉬운 password를 Crack 1999/03/01 08:40 from aoadu smurf를 컴파일시도 compile, permission의 개념이 없는 해커였음

8 해커들의 행동(5) 1999/03/02 14:?? from rewt irc를 사용해 에 접속해서 #hackers channel에서 lamehead라는 별명으로 자신의 해킹실력에 대해 다른 해커들에게 자랑함 PLUS015는 irc의 #hackers에 접속해서 이곳을 해킹하지 말라고 경고 해커 몇 명이 PLUS015의 Linux PC에 접속시도 PLUS15의 Linux PC를 일단 shutdown함

9 해커들의 행동(6) 1999/03/03 ~ 1999/03/05 여러 명의 해커가 아이디를 만들고 지우기를 아주 여러 번 반복
이전에 만들었던 아이디로도 많은 접속 시도 일반적인 해커의 용도는 irc와 eggdrop의 사용

10 해커들의 행동(7) 1999/03/06 1999/03/07 mscan과 sscan을 이용해 .kr과 .mx를 스캔
network traffic load를 너무 높여서 system을 shutdown system을 다시 설치하고 사건 마무리

11 해커들이 남긴 접속 기록(1) 1999/03/01~1999/03/02 (shell1.iglou.com)

12 해커들이 남긴 접속 기록(2) 1999/03/03 (shell1.iglou.com) (acheron.apolloweb.net)

13 해커들이 남긴 접속 기록(3) 1999/03/03 (계속) (dillinger.io.com)

14 최근 해커들의 특징 특정 목표가 없음 주 공격대상은 한국과 멕시코 해킹 목적은 irc, eggdrop, DoS프로그램의 사용
대부분 Unix에 대해 초보 추적이 불가능하다는 생각을 가지고 있음