1. 해커가 침투했다면 부팅관련 init를 변경했을 위험이 있다.
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
댓글 2개
19년 전
find /dev -type f 해서
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw
13년 전
clamav, rkhunter 이런 툴을 이용하는것도 괜찬을 것 같습니다.
게시판 목록
프로그램
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 |
|---|---|---|---|---|
| 1230 |
 hanpedro |
18년 전 | 1996 | |
| 1229 |
hanpedro |
18년 전 | 2931 | |
| 1228 |
hanpedro |
18년 전 | 2623 | |
| 1227 | 18년 전 | 2918 | ||
| 1226 | 18년 전 | 2355 | ||
| 1225 |
 madem |
18년 전 | 2425 | |
| 1224 | 18년 전 | 2735 | ||
| 1223 |
 예감커뮤니케이션 |
18년 전 | 3979 | |
| 1222 |
mixdesign
|
18년 전 | 2626 | |
| 1221 |
hanpedro |
18년 전 | 2742 | |
| 1220 | 18년 전 | 3201 | ||
| 1219 | 18년 전 | 2905 | ||
| 1218 | 18년 전 | 2095 | ||
| 1217 |
hanpedro |
18년 전 | 2541 | |
| 1216 | 18년 전 | 2548 | ||
| 1215 |
mixdesign
|
18년 전 | 4033 | |
| 1214 |
 사이버매치스틱 |
18년 전 | 4783 | |
| 1213 | 18년 전 | 2315 | ||
| 1212 |
mixdesign
|
18년 전 | 2484 | |
| 1211 |
 comet |
18년 전 | 2421 | |
| 1210 | 18년 전 | 3755 | ||
| 1209 |
mixdesign
|
18년 전 | 2372 | |
| 1208 |
mixdesign
|
18년 전 | 2374 | |
| 1207 |
mixdesign
|
18년 전 | 1717 | |
| 1206 |
mixdesign
|
18년 전 | 1999 | |
| 1205 |
mixdesign
|
18년 전 | 2698 | |
| 1204 |
mixdesign
|
18년 전 | 3576 | |
| 1203 | 18년 전 | 3087 | ||
| 1202 | 18년 전 | 2967 | ||
| 1201 | 18년 전 | 2029 | ||
| 1200 | 18년 전 | 4121 | ||
| 1199 | 18년 전 | 2158 | ||
| 1198 | 18년 전 | 4192 | ||
| 1197 | 18년 전 | 2501 | ||
| 1196 | 18년 전 | 2349 | ||
| 1195 |
 somang |
18년 전 | 3461 | |
| 1194 | 18년 전 | 2234 | ||
| 1193 | 18년 전 | 2142 | ||
| 1192 | 18년 전 | 3271 | ||
| 1191 | 18년 전 | 3948 | ||
| 1190 | 18년 전 | 2205 | ||
| 1189 |
somang |
18년 전 | 2348 | |
| 1188 |
 yunni |
18년 전 | 3823 | |
| 1187 | 18년 전 | 2704 | ||
| 1186 | 18년 전 | 3347 | ||
| 1185 | 18년 전 | 2771 | ||
| 1184 | 18년 전 | 1660 | ||
| 1183 | 18년 전 | 2120 | ||
| 1182 | 18년 전 | 3688 | ||
| 1181 |
mermaid
|
18년 전 | 2915 | |
| 1180 | 18년 전 | 2968 | ||
| 1179 | 18년 전 | 3604 | ||
| 1178 | 18년 전 | 2163 | ||
| 1177 |
 PhotoFly |
18년 전 | 2280 | |
| 1176 | 18년 전 | 3168 | ||
| 1175 | 18년 전 | 1853 | ||
| 1174 |
 뜨락의이름 |
18년 전 | 2218 | |
| 1173 |
뜨락의이름 |
18년 전 | 2522 | |
| 1172 | 18년 전 | 1763 | ||
| 1171 | 18년 전 | 2101 | ||
| 1170 | 18년 전 | 1987 | ||
| 1169 | 18년 전 | 2502 | ||
| 1168 | 18년 전 | 1920 | ||
| 1167 | 18년 전 | 1715 | ||
| 1166 | 18년 전 | 1742 | ||
| 1165 | 18년 전 | 1724 | ||
| 1164 | 18년 전 | 2767 | ||
| 1163 | 18년 전 | 1552 | ||
| 1162 |
PhotoFly |
18년 전 | 5665 | |
| 1161 |
이걸~어쩌나~
|
18년 전 | 2392 | |
| 1160 | 18년 전 | 1659 | ||
| 1159 | 18년 전 | 4701 | ||
| 1158 | 18년 전 | 2050 | ||
| 1157 | 18년 전 | 4839 | ||
| 1156 | 18년 전 | 3187 | ||
| 1155 | 18년 전 | 2126 | ||
| 1154 | 18년 전 | 1825 | ||
| 1153 |
BEST79
|
18년 전 | 2099 | |
| 1152 | 18년 전 | 1721 | ||
| 1151 | 18년 전 | 1834 | ||
| 1150 | 18년 전 | 1834 | ||
| 1149 |
inniskun
|
18년 전 | 2475 | |
| 1148 |
뜨락의이름 |
18년 전 | 3492 | |
| 1147 |
뜨락의이름 |
18년 전 | 5971 | |
| 1146 |
뜨락의이름 |
18년 전 | 3860 | |
| 1145 | 18년 전 | 3056 | ||
| 1144 | 18년 전 | 2130 | ||
| 1143 | 18년 전 | 2398 | ||
| 1142 | 18년 전 | 2187 | ||
| 1141 |
뜨락의이름 |
18년 전 | 2297 | |
| 1140 | 18년 전 | 2404 | ||
| 1139 | 18년 전 | 2840 | ||
| 1138 | 18년 전 | 2534 | ||
| 1137 | 18년 전 | 1988 | ||
| 1136 | 18년 전 | 3125 | ||
| 1135 | 18년 전 | 3584 | ||
| 1134 | 18년 전 | 3829 | ||
| 1133 |
자반고등어
|
18년 전 | 3332 | |
| 1132 | 18년 전 | 3382 | ||
| 1131 | 18년 전 | 2562 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기