1. 해커가 침투했다면 부팅관련 init를 변경했을 위험이 있다.
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
댓글 2개
19년 전
find /dev -type f 해서
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
13년 전
clamav, rkhunter 이런 툴을 이용하는것도 괜찬을 것 같습니다.
게시판 목록
프로그램
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 |
|---|---|---|---|---|
| 7830 | 10년 전 | 454 | ||
| 7829 |
 gilynh |
10년 전 | 641 | |
| 7828 | 10년 전 | 565 | ||
| 7827 | 10년 전 | 463 | ||
| 7826 | 10년 전 | 491 | ||
| 7825 | 10년 전 | 517 | ||
| 7824 | 10년 전 | 481 | ||
| 7823 | 10년 전 | 425 | ||
| 7822 | 10년 전 | 398 | ||
| 7821 | 10년 전 | 344 | ||
| 7820 | 10년 전 | 367 | ||
| 7819 |
 ABC디자인 |
10년 전 | 766 | |
| 7818 | 10년 전 | 419 | ||
| 7817 | 10년 전 | 600 | ||
| 7816 | 10년 전 | 439 | ||
| 7815 | 10년 전 | 633 | ||
| 7814 | 10년 전 | 473 | ||
| 7813 | 10년 전 | 432 | ||
| 7812 | 10년 전 | 438 | ||
| 7811 | 10년 전 | 417 | ||
| 7810 | 10년 전 | 615 | ||
| 7809 | 10년 전 | 549 | ||
| 7808 | 10년 전 | 429 | ||
| 7807 | 10년 전 | 438 | ||
| 7806 |
프로그래머7
|
10년 전 | 1362 | |
| 7805 | 10년 전 | 1304 | ||
| 7804 |
zahir1312
|
10년 전 | 802 | |
| 7803 |
ABC디자인 |
10년 전 | 1401 | |
| 7802 | 10년 전 | 504 | ||
| 7801 | 10년 전 | 882 | ||
| 7800 | 10년 전 | 1109 | ||
| 7799 | 10년 전 | 589 | ||
| 7798 | 10년 전 | 539 | ||
| 7797 | 10년 전 | 559 | ||
| 7796 | 10년 전 | 392 | ||
| 7795 | 10년 전 | 546 | ||
| 7794 | 10년 전 | 586 | ||
| 7793 | 10년 전 | 1086 | ||
| 7792 | 10년 전 | 509 | ||
| 7791 | 10년 전 | 602 | ||
| 7790 | 10년 전 | 528 | ||
| 7789 |
fbastore
|
10년 전 | 1481 | |
| 7788 | 10년 전 | 584 | ||
| 7787 | 10년 전 | 441 | ||
| 7786 | 10년 전 | 653 | ||
| 7785 | 10년 전 | 621 | ||
| 7784 | 10년 전 | 682 | ||
| 7783 | 10년 전 | 504 | ||
| 7782 | 10년 전 | 528 | ||
| 7781 | 10년 전 | 934 | ||
| 7780 | 10년 전 | 846 | ||
| 7779 | 10년 전 | 798 | ||
| 7778 | 10년 전 | 386 | ||
| 7777 | 10년 전 | 499 | ||
| 7776 | 10년 전 | 495 | ||
| 7775 | 10년 전 | 433 | ||
| 7774 | 10년 전 | 646 | ||
| 7773 | 10년 전 | 400 | ||
| 7772 | 10년 전 | 772 | ||
| 7771 | 10년 전 | 428 | ||
| 7770 | 10년 전 | 672 | ||
| 7769 | 10년 전 | 431 | ||
| 7768 | 10년 전 | 651 | ||
| 7767 | 10년 전 | 1205 | ||
| 7766 | 10년 전 | 530 | ||
| 7765 | 10년 전 | 589 | ||
| 7764 |
잘살아보자
|
10년 전 | 449 | |
| 7763 |
 foxrain |
10년 전 | 1499 | |
| 7762 |
Tosea
|
10년 전 | 1087 | |
| 7761 | 10년 전 | 686 | ||
| 7760 |
잘살아보자
|
10년 전 | 757 | |
| 7759 |
잘살아보자
|
10년 전 | 596 | |
| 7758 |
잘살아보자
|
10년 전 | 654 | |
| 7757 | 10년 전 | 1276 | ||
| 7756 |
ITBANK
|
10년 전 | 1285 | |
| 7755 | 10년 전 | 1942 | ||
| 7754 | 10년 전 | 1099 | ||
| 7753 | 10년 전 | 917 | ||
| 7752 | 10년 전 | 1418 | ||
| 7751 |
잘살아보자
|
10년 전 | 578 | |
| 7750 |
잘살아보자
|
10년 전 | 505 | |
| 7749 |
잘살아보자
|
10년 전 | 526 | |
| 7748 |
잘살아보자
|
10년 전 | 557 | |
| 7747 |
잘살아보자
|
10년 전 | 634 | |
| 7746 |
잘살아보자
|
10년 전 | 697 | |
| 7745 |
잘살아보자
|
10년 전 | 943 | |
| 7744 |
잘살아보자
|
10년 전 | 439 | |
| 7743 | 10년 전 | 966 | ||
| 7742 |
starbros
|
10년 전 | 862 | |
| 7741 |
잘살아보자
|
10년 전 | 703 | |
| 7740 |
잘살아보자
|
10년 전 | 592 | |
| 7739 |
잘살아보자
|
10년 전 | 487 | |
| 7738 |
잘살아보자
|
10년 전 | 561 | |
| 7737 |
잘살아보자
|
10년 전 | 540 | |
| 7736 |
잘살아보자
|
10년 전 | 560 | |
| 7735 |
잘살아보자
|
10년 전 | 893 | |
| 7734 |
잘살아보자
|
10년 전 | 453 | |
| 7733 |
잘살아보자
|
10년 전 | 564 | |
| 7732 |
잘살아보자
|
10년 전 | 728 | |
| 7731 |
잘살아보자
|
10년 전 | 651 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기