---==
SIR ==--- 에서 펀글
1. 해커가 침투했다면 부팅관련 init를 변경했을 위험이 있다.
만약
변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면
바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면
부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는
파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도
내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의
중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는
명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr
/sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된
패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예
를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su
해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참
고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만
나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat
-tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여
커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서
rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로,
참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody
13338 0.3 0.8 17084 9272 ? S 13:06 1:13
/usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx
1 root 1001 0 9월 17 18:17 exe ->
/usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로
불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요
런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~
상처받지 않기를~~~
2010.03.08 02:29
LINUX 해킹당했을 때 대처요령
조회 수 8734 추천 수 0 댓글 0
LINUX 해킹당했을 때 대처요령
TAG •
Who's l2zeo
I see
no changes, wake up in the
morning and I ask myself Is life
worth living should I blast myself
Things would never be the same.
Things would never be the same.
번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
---|---|---|---|---|
28 | 리눅스 아이피 차단 해제 | ADMINPLAY | 2009.03.11 | 10542 |
27 | 리눅스 해킹점검 가이드 | ADMIN | 2008.12.10 | 18241 |
26 | 리눅스서버에서 ping(ICMP) 열기/닫기 | ADMINPLAY | 2009.08.18 | 14838 |
25 | 리눅스용 각종 보안도구 사이트모음 | ADMINPLAY | 2009.07.12 | 33751 |
24 | 리눅스용 백신 AVG | ADMINPLAY | 2009.06.04 | 9092 |
23 | 매직키를 이용한 응급복구법 | l2zeo | 2010.03.31 | 32096 |
22 | 보안 체킹 프로그램 - portsentry | ADMINPLAY | 2010.04.27 | 16181 |
21 | 보안서버 SSL 구동시 비밀번호 자동 입력 및 부팅시 자동 ... | ADMINPLAY | 2009.03.23 | 9318 |
20 | 보안서버 구축시 openssl/modssl/apache 버전 호환성 | ADMIN | 2008.12.14 | 10904 |
19 | 보안서버구축 - SSL(설치 및 키생성) 1 | ADMIN | 2009.01.04 | 10467 |
18 | 보안서버로 redirection 설정 하기 | ADMIN | 2008.12.14 | 10275 |
17 | 서버의 iptable 보안설정 일부분 | ADMINPLAY | 2009.05.28 | 8790 |
16 | 서버종합점검[리눅스] | ADMINPLAY | 2009.05.28 | 8371 |
15 | 스위칭 허브 상에서의 sniffing 툴 | ADMINPLAY | 2009.09.08 | 9583 |
14 | 시스템 로그를 메일로 - logcheck | ADMINPLAY | 2009.09.08 | 8776 |
13 | 실전 테스트!! 스니퍼 공격 | ADMINPLAY | 2009.11.30 | 9774 |
12 | 안티 루트킷 사용 예 | l2zeo | 2010.03.28 | 11579 |
11 | 웹어플리케이션 보안 | ADMINPLAY | 2010.05.03 | 17165 |
10 | 웹취약점 점검 | ADMIN | 2008.11.25 | 9258 |
9 | 접속 로그파일 보기(wtmp) | ADMINPLAY | 2009.05.11 | 13883 |