1. 해커가 침투했다면 부팅관련 init를 변경했을 위험이 있다.
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
댓글 2개
19년 전
find /dev -type f 해서
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
13년 전
clamav, rkhunter 이런 툴을 이용하는것도 괜찬을 것 같습니다.
게시판 목록
프로그램
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 |
|---|---|---|---|---|
| 1730 | 17년 전 | 1173 | ||
| 1729 | 17년 전 | 1593 | ||
| 1728 | 17년 전 | 1668 | ||
| 1727 | 17년 전 | 1809 | ||
| 1726 | 17년 전 | 2945 | ||
| 1725 | 17년 전 | 2081 | ||
| 1724 |
|
17년 전 | 1764 | |
| 1723 |
끝없는사랑
|
17년 전 | 2098 | |
| 1722 |
끝없는사랑
|
17년 전 | 1805 | |
| 1721 | 17년 전 | 3340 | ||
| 1720 | 17년 전 | 1522 | ||
| 1719 | 17년 전 | 1645 | ||
| 1718 |
사랑합니다
|
17년 전 | 1362 | |
| 1717 | 17년 전 | 2177 | ||
| 1716 | 17년 전 | 3129 | ||
| 1715 |
|
17년 전 | 2268 | |
| 1714 |
|
17년 전 | 1722 | |
| 1713 | 17년 전 | 2973 | ||
| 1712 | 17년 전 | 4419 | ||
| 1711 | 17년 전 | 1735 | ||
| 1710 | 17년 전 | 3235 | ||
| 1709 |
jeans
|
17년 전 | 1562 | |
| 1708 |
 mando |
17년 전 | 3472 | |
| 1707 | 17년 전 | 5833 | ||
| 1706 |
|
17년 전 | 1413 | |
| 1705 |
|
17년 전 | 2150 | |
| 1704 | 17년 전 | 1782 | ||
| 1703 |
심심맨닷컴
|
17년 전 | 1521 | |
| 1702 | 17년 전 | 2412 | ||
| 1701 |
|
17년 전 | 2616 | |
| 1700 | 17년 전 | 1586 | ||
| 1699 | 17년 전 | 2677 | ||
| 1698 |
RedRiverFisher
|
17년 전 | 3163 | |
| 1697 |
심심맨닷컴
|
17년 전 | 1517 | |
| 1696 |
eclub
|
17년 전 | 1932 | |
| 1695 | 17년 전 | 3838 | ||
| 1694 |
깜장고무신
|
17년 전 | 4469 | |
| 1693 |
stuartkim
|
17년 전 | 1867 | |
| 1692 |
stuartkim
|
17년 전 | 1720 | |
| 1691 |
 hanpedro |
17년 전 | 2660 | |
| 1690 | 17년 전 | 1841 | ||
| 1689 | 17년 전 | 3927 | ||
| 1688 | 17년 전 | 1634 | ||
| 1687 | 16년 전 | 1917 | ||
| 1686 |
hanpedro |
17년 전 | 2250 | |
| 1685 | 17년 전 | 2102 | ||
| 1684 |
 cmpanel |
17년 전 | 3561 | |
| 1683 |
leeLook
|
17년 전 | 1578 | |
| 1682 | 17년 전 | 2649 | ||
| 1681 | 17년 전 | 1628 | ||
| 1680 | 17년 전 | 1899 | ||
| 1679 | 17년 전 | 7415 | ||
| 1678 | 17년 전 | 1991 | ||
| 1677 | 17년 전 | 4083 | ||
| 1676 | 17년 전 | 2414 | ||
| 1675 | 17년 전 | 2423 | ||
| 1674 | 17년 전 | 2142 | ||
| 1673 | 17년 전 | 2190 | ||
| 1672 | 17년 전 | 2614 | ||
| 1671 | 17년 전 | 3206 | ||
| 1670 | 17년 전 | 5318 | ||
| 1669 |
플래시007
|
17년 전 | 2770 | |
| 1668 |
cmpanel |
17년 전 | 2690 | |
| 1667 | 17년 전 | 2542 | ||
| 1666 |
|
17년 전 | 1789 | |
| 1665 | 17년 전 | 2195 | ||
| 1664 | 17년 전 | 5300 | ||
| 1663 |
cmpanel |
17년 전 | 3011 | |
| 1662 |
cmpanel |
17년 전 | 2574 | |
| 1661 |
cmpanel |
17년 전 | 3249 | |
| 1660 |
cmpanel |
17년 전 | 2464 | |
| 1659 |
cmpanel |
17년 전 | 2824 | |
| 1658 | 17년 전 | 5861 | ||
| 1657 | 17년 전 | 2620 | ||
| 1656 |
Piece
|
17년 전 | 2016 | |
| 1655 |
|
17년 전 | 2643 | |
| 1654 | 17년 전 | 1470 | ||
| 1653 | 17년 전 | 9789 | ||
| 1652 | 17년 전 | 4446 | ||
| 1651 | 17년 전 | 3276 | ||
| 1650 | 17년 전 | 1803 | ||
| 1649 | 17년 전 | 3597 | ||
| 1648 | 17년 전 | 2277 | ||
| 1647 | 17년 전 | 3721 | ||
| 1646 | 17년 전 | 5171 | ||
| 1645 | 17년 전 | 3822 | ||
| 1644 | 17년 전 | 2668 | ||
| 1643 | 17년 전 | 2931 | ||
| 1642 | 17년 전 | 2438 | ||
| 1641 | 17년 전 | 2776 | ||
| 1640 |
porgy
|
17년 전 | 1890 | |
| 1639 | 17년 전 | 3429 | ||
| 1638 |
컴퓨터기술자
|
17년 전 | 2128 | |
| 1637 |
 FreeMax |
17년 전 | 2256 | |
| 1636 | 17년 전 | 2072 | ||
| 1635 | 17년 전 | 3039 | ||
| 1634 |
귀여운현호
|
17년 전 | 1990 | |
| 1633 |
태양의서쪽
|
17년 전 | 2658 | |
| 1632 | 17년 전 | 3861 | ||
| 1631 | 17년 전 | 4558 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기