웹서버를 정기적으로 V3 Net for Linux Server 로 검사 한다.
검사 중 아래와 같은 것이 발견 되었다.
Linux/Backdoor.1223123.B
검색을 해보면 빌게이츠 봇넷(BillGates botnet) 주의 라는 AhnLab 의 게시글이 검색 된다.
특징은 아래와 같다.
1. V3에서 치료(삭제) 가 되지 않는다.
2. 해당 디렉토리에 가서 확인 해보면 파일이 보이지 않는다.
3. ls -al | grep sshdd 로 확인 하면 파일이 보인다.
4. 파일을 찾지 못한다. (rm, lsatter 등의 명령어가 동작 하지 않는다.)
5. lsattr | grep ./sshdd 로 확인 하면 아래와 같이 속성이 확인 가능 하다.
아래와 같이 해결 하였다.
1. ls -li | grep sshdd 로 inode 를 확인 한다.
2. find . -inum 14495973889 -exec chattr -a {}\; 로 속성을 변경 한다.
3. 파일을 삭제 한다.