1. 해커가 침투했다면 부팅관련 init를 변경했을 위험이 있다.
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
댓글 2개
19년 전
find /dev -type f 해서
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
13년 전
clamav, rkhunter 이런 툴을 이용하는것도 괜찬을 것 같습니다.
게시판 목록
프로그램
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 |
|---|---|---|---|---|
| 8130 | 9년 전 | 567 | ||
| 8129 |
 Angelos |
9년 전 | 684 | |
| 8128 | 9년 전 | 539 | ||
| 8127 |
Angelos |
9년 전 | 588 | |
| 8126 | 9년 전 | 521 | ||
| 8125 | 9년 전 | 777 | ||
| 8124 |
Angelos |
9년 전 | 533 | |
| 8123 | 9년 전 | 520 | ||
| 8122 | 9년 전 | 451 | ||
| 8121 | 9년 전 | 559 | ||
| 8120 | 9년 전 | 480 | ||
| 8119 | 9년 전 | 569 | ||
| 8118 |
Angelos |
9년 전 | 642 | |
| 8117 |
 뜨거운형제들 |
9년 전 | 415 | |
| 8116 |
PASKRAN
|
9년 전 | 474 | |
| 8115 | 9년 전 | 467 | ||
| 8114 |
kiplayer
|
9년 전 | 606 | |
| 8113 | 9년 전 | 465 | ||
| 8112 |
Angelos |
9년 전 | 573 | |
| 8111 | 9년 전 | 414 | ||
| 8110 | 9년 전 | 456 | ||
| 8109 | 9년 전 | 385 | ||
| 8108 |
Angelos |
9년 전 | 563 | |
| 8107 |
Angelos |
9년 전 | 451 | |
| 8106 |
Angelos |
9년 전 | 453 | |
| 8105 | 9년 전 | 483 | ||
| 8104 |
Angelos |
9년 전 | 448 | |
| 8103 |
Angelos |
9년 전 | 446 | |
| 8102 |
Angelos |
9년 전 | 420 | |
| 8101 |
snshero
|
9년 전 | 806 | |
| 8100 | 9년 전 | 852 | ||
| 8099 | 9년 전 | 830 | ||
| 8098 | 9년 전 | 729 | ||
| 8097 | 9년 전 | 536 | ||
| 8096 | 9년 전 | 734 | ||
| 8095 | 9년 전 | 864 | ||
| 8094 | 9년 전 | 536 | ||
| 8093 | 9년 전 | 819 | ||
| 8092 | 9년 전 | 771 | ||
| 8091 | 9년 전 | 1154 | ||
| 8090 | 9년 전 | 782 | ||
| 8089 | 9년 전 | 996 | ||
| 8088 | 9년 전 | 659 | ||
| 8087 | 9년 전 | 787 | ||
| 8086 | 9년 전 | 535 | ||
| 8085 | 9년 전 | 498 | ||
| 8084 | 9년 전 | 618 | ||
| 8083 | 9년 전 | 589 | ||
| 8082 | 9년 전 | 778 | ||
| 8081 | 9년 전 | 486 | ||
| 8080 | 9년 전 | 585 | ||
| 8079 | 9년 전 | 545 | ||
| 8078 | 9년 전 | 463 | ||
| 8077 | 9년 전 | 553 | ||
| 8076 | 9년 전 | 422 | ||
| 8075 | 9년 전 | 457 | ||
| 8074 | 9년 전 | 418 | ||
| 8073 | 9년 전 | 473 | ||
| 8072 | 9년 전 | 467 | ||
| 8071 |
o1o111
|
9년 전 | 915 | |
| 8070 | 9년 전 | 422 | ||
| 8069 | 9년 전 | 360 | ||
| 8068 | 9년 전 | 615 | ||
| 8067 | 9년 전 | 412 | ||
| 8066 | 9년 전 | 437 | ||
| 8065 | 9년 전 | 400 | ||
| 8064 | 9년 전 | 392 | ||
| 8063 | 9년 전 | 359 | ||
| 8062 | 9년 전 | 327 | ||
| 8061 | 9년 전 | 367 | ||
| 8060 | 9년 전 | 405 | ||
| 8059 | 9년 전 | 340 | ||
| 8058 | 9년 전 | 279 | ||
| 8057 | 9년 전 | 406 | ||
| 8056 | 9년 전 | 325 | ||
| 8055 | 9년 전 | 372 | ||
| 8054 | 9년 전 | 381 | ||
| 8053 | 9년 전 | 432 | ||
| 8052 | 9년 전 | 306 | ||
| 8051 | 9년 전 | 355 | ||
| 8050 | 9년 전 | 409 | ||
| 8049 | 9년 전 | 342 | ||
| 8048 | 9년 전 | 449 | ||
| 8047 | 9년 전 | 384 | ||
| 8046 | 9년 전 | 329 | ||
| 8045 | 9년 전 | 275 | ||
| 8044 | 9년 전 | 361 | ||
| 8043 | 9년 전 | 316 | ||
| 8042 | 9년 전 | 308 | ||
| 8041 | 9년 전 | 371 | ||
| 8040 | 9년 전 | 294 | ||
| 8039 | 9년 전 | 336 | ||
| 8038 | 9년 전 | 281 | ||
| 8037 | 9년 전 | 424 | ||
| 8036 | 9년 전 | 513 | ||
| 8035 | 9년 전 | 446 | ||
| 8034 | 9년 전 | 406 | ||
| 8033 | 9년 전 | 367 | ||
| 8032 | 9년 전 | 470 | ||
| 8031 | 9년 전 | 364 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기