1. 해커가 침투했다면 부팅관련 init를 변경했을 위험이 있다.
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
댓글 2개
19년 전
find /dev -type f 해서
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
13년 전
clamav, rkhunter 이런 툴을 이용하는것도 괜찬을 것 같습니다.
게시판 목록
프로그램
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 |
|---|---|---|---|---|
| 830 |
 Elbis |
19년 전 | 2199 | |
| 829 |
Elbis |
19년 전 | 1941 | |
| 828 |
Elbis |
19년 전 | 1824 | |
| 827 |
Elbis |
19년 전 | 1660 | |
| 826 |
Elbis |
19년 전 | 1858 | |
| 825 |
Elbis |
19년 전 | 1908 | |
| 824 |
Elbis |
19년 전 | 1963 | |
| 823 |
Elbis |
19년 전 | 2699 | |
| 822 |
Elbis |
19년 전 | 5336 | |
| 821 |
Elbis |
19년 전 | 1732 | |
| 820 |
Elbis |
19년 전 | 1588 | |
| 819 |
Elbis |
19년 전 | 1454 | |
| 818 |
Elbis |
19년 전 | 1614 | |
| 817 |
Elbis |
19년 전 | 1538 | |
| 816 |
Elbis |
19년 전 | 1461 | |
| 815 |
Elbis |
19년 전 | 1471 | |
| 814 |
Elbis |
19년 전 | 1389 | |
| 813 |
Elbis |
19년 전 | 1460 | |
| 812 | 19년 전 | 2832 | ||
| 811 |
pearly
|
19년 전 | 3848 | |
| 810 |
pearly
|
19년 전 | 5228 | |
| 809 |
 MCLUB |
19년 전 | 1390 | |
| 808 |
pearly
|
19년 전 | 4547 | |
| 807 | 19년 전 | 2989 | ||
| 806 |
MCLUB |
19년 전 | 1510 | |
| 805 |
 드렁크수달스 |
19년 전 | 2701 | |
| 804 |
 두루굳센™ |
19년 전 | 3632 | |
| 803 |
MCLUB |
19년 전 | 1820 | |
| 802 |
 AGAWEB |
19년 전 | 3798 | |
| 801 |
MCLUB |
19년 전 | 1893 | |
| 800 | 19년 전 | 3779 | ||
| 799 | 19년 전 | 3449 | ||
| 798 | 19년 전 | 4215 | ||
| 797 | 19년 전 | 4086 | ||
| 796 |
MCLUB |
19년 전 | 1903 | |
| 795 |
MCLUB |
19년 전 | 1865 | |
| 794 | 19년 전 | 4284 | ||
| 793 | 19년 전 | 2680 | ||
| 792 | 19년 전 | 2555 | ||
| 791 | 19년 전 | 2413 | ||
| 790 | 19년 전 | 1993 | ||
| 789 | 19년 전 | 2601 | ||
| 788 | 19년 전 | 2218 | ||
| 787 | 19년 전 | 1860 | ||
| 786 | 19년 전 | 1981 | ||
| 785 | 19년 전 | 1454 | ||
| 784 |
MCLUB |
19년 전 | 1702 | |
| 783 | 19년 전 | 2850 | ||
| 782 |
MCLUB |
19년 전 | 1974 | |
| 781 | 19년 전 | 3261 | ||
| 780 | 19년 전 | 3174 | ||
| 779 |
MCLUB |
19년 전 | 2256 | |
| 778 |
MCLUB |
19년 전 | 1810 | |
| 777 | 19년 전 | 2852 | ||
| 776 | 19년 전 | 2917 | ||
| 775 | 19년 전 | 4033 | ||
| 774 |
MCLUB |
19년 전 | 2000 | |
| 773 | 19년 전 | 2635 | ||
| 772 | 19년 전 | 2351 | ||
| 771 | 19년 전 | 3481 | ||
| 770 |
MCLUB |
19년 전 | 1450 | |
| 769 | 19년 전 | 1514 | ||
| 768 | 19년 전 | 1788 | ||
| 767 | 19년 전 | 2211 | ||
| 766 | 19년 전 | 1842 | ||
| 765 | 19년 전 | 1704 | ||
| 764 |
 강강술냄세 |
19년 전 | 2125 | |
| 763 |
강강술냄세 |
19년 전 | 2236 | |
| 762 |
 yunni |
19년 전 | 4971 | |
| 761 | 19년 전 | 2340 | ||
| 760 |
yunni |
19년 전 | 3202 | |
| 759 | 19년 전 | 2653 | ||
| 758 |
드렁크수달스 |
19년 전 | 2414 | |
| 757 | 19년 전 | 4711 | ||
| 756 | 19년 전 | 2581 | ||
| 755 |
 양들의친목 |
19년 전 | 2426 | |
| 754 |
강강술냄세 |
19년 전 | 1975 | |
| 753 |
강강술냄세 |
19년 전 | 1759 | |
| 752 |
pearly
|
19년 전 | 3379 | |
| 751 | 19년 전 | 2358 | ||
| 750 |
 예은이아빠 |
19년 전 | 6173 | |
| 749 | 19년 전 | 2047 | ||
| 748 |
강강술냄세 |
19년 전 | 1919 | |
| 747 |
강강술냄세 |
19년 전 | 2716 | |
| 746 |
강강술냄세 |
19년 전 | 1827 | |
| 745 | 19년 전 | 2289 | ||
| 744 | 19년 전 | 2126 | ||
| 743 |
드렁크수달스 |
19년 전 | 3580 | |
| 742 | 19년 전 | 2594 | ||
| 741 | 19년 전 | 2756 | ||
| 740 |
 cunic |
19년 전 | 4380 | |
| 739 | 19년 전 | 3561 | ||
| 738 |
드렁크수달스 |
19년 전 | 2315 | |
| 737 | 19년 전 | 4325 | ||
| 736 | 19년 전 | 3286 | ||
| 735 |
홀로남은자
|
19년 전 | 4162 | |
| 734 |
홀로남은자
|
19년 전 | 2034 | |
| 733 |
홀로남은자
|
19년 전 | 2240 | |
| 732 | 19년 전 | 2150 | ||
| 731 | 19년 전 | 3375 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기