IceWarp 이메일 서버 자세히보기

새로운 소식

[해킹:루트킷] Windows 2003 std 에 sp2 를 설치하려고 했으나 계속해서 실패

알 수 없는 사용자 2007. 4. 12. 13:30
[Environment]

Widows 2003 Std sp1

 
[ 윈도우 2003 서버의 장해 내용 ]

Windows 2003 std sp2 를 설치하려고 했으나 계속해서 실패됨. e 0x8024200D

=>

해당 오류 코드는 업데이트할 설치파일이 Corrupt 되었다는 의미입니다.

업데이트에 사용되는 서비스들은 모두 정상이지만 서비스가 사용할 폴더 중 SoftwareDistribution 폴더가 Corrupt 된 것으로 보임.

Corrupt 된 원인으로 Rootkit 이 의심되고 있음.

 

[Cause]

N/A

 

[Resolution]

1.       고객님의 서버에서 “MS 유틸리티” 에 있는 파일 중 procexp.exe 를 이용하여 현재 실행되고 있는 프로세스를 확인하였습니다.

[ procexp.exe ms 홈페이지 중에서 다운로드할 수 있는 유틸리티로 윈도우의 작업관리자와 비슷하지만 보다 자세하게 내용을 확인할 수 있는 유틸리티입니다. ]

e 특별히 의심되는 프로세스나 파일이 보이지 않았기 때문에 rootkit 프로세스를 찾을 수 없었습니다.

 

2.       이번에는 유틸리티 중 “Filemon.exe” 를 이용하여 폴더를 제거하려고 할 때 제거되지 않는 폴더를 확인하려고 시도하였습니다.

[ Filemon.exe 는 시스템에서 프로세스들이 어떤 file access 하는지 모니터링하는 유틸리티입니다. ]

e 그러나 Filemon 의 로그에서는 “NOT EMPTY” 라고만 표시될 뿐 어떤 폴더나 파일이 존재하는지 나오지 않습니다.

 

3.       FSBL.exe 를 이용하여 hidden 되어 있는 file 혹은 process 가 있는지 scan 하였습니다. (첨부된 로그)

e hxdefbot.exe, hxdefhide.exe, hxdef100.exe, svchos.exe, lsas.exe 등등 상당히 많은 rootkit 이 고객님 서버에 존재합니다.

 

[조치 사항]

e registry 에서 해당 exe 파일들을 검색하여 이 파일을 실행시켜주는 service 로 등록된 레지스트리에서 시작 유형을 “사용 안 함” 으로 변경하였습니다.

e 실제 경로에 찾아가 지울 수 있는 한 모두 del 하였습니다. 그러나 여전히 지워지지 않는 파일들이 대부분 입니다.

이 파일들은 재부팅 후 서비스가 시작되지 않은 상태에서 다시 보시면 보일 수도 있습니다. 그 때 다시 삭제하셔야 할 수 있습니다.

 

[권장 사항]

1.       서버를 재부팅하기 전 현재 부팅되어 있는 상태에서 데이터를 모두 다른 드라이브로 백업합니다.

2.       서버를 재부팅하여 봅니다. 위에서 안내드린 것처럼 rootkit 들이 시작되지 않으면 파일들이 보일 수 있습니다. 그러면 실제 파일도 모두 제거하고 증상을 확인하여 봅니다.

3.       실제로 고객님 서버에서 ftp.exe , cscript.exe , wcsript.exe 등등 윈도우의 원래 파일들도 rootkit 으로 대체된 것이 확인되어 재설치하시는 것이 가장 좋을 것으로 보입니다.


로그파일 참조 :