Skip to content

조회 수 9901 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

1. 개요
리눅스에서 해킹의 증상들은 여러 지가 있다.
일반적인 명령어들y(ls, pstree, ps, top) 명령어들이 사용되지 않거나 또는 시스템 다운 등이 있다.
해킹을 미연에 방지 하는게 가장 좋은 방법이지만, 이미 해킹 당한 시스템을 복구하고, 문제점을 찾아내는 것도 중요하다.

2. 해킹을 판단하기 위한 유용한 명령어

1.Chrootkit

  • rootkit 탐지를 위한 도구로 네트워크 인터페이스의 promisc 모드, lastlog/wtmp 로그파일의 삭제 여부 등을 탐지하며, lrk5의 설치 유무에 대해서 검사한다.
  • ftp://ftp.pangeia.com.br/pub/seg/pac 에서 다운 받을 수 있다.
    참고 사이트 : http://www.chkrootkit.org/
    [root@ancigo chkrootkit-0.45]# ./chkrootkit

  • infected : 루트킷으로 변형되었음
  • not infected : 어떤 루트킷의 증후를 발견하지 못했다.
  • Not tested : 점검이 수행되지 못했다.
  • Not found : 점검한 command가 없을 때

    2.rpm -Va

  • 패키지들을 검증해서 패키지 변조여부를 확인할 수 있다.

    가 . find /dev -type f

  • [root@linuxone root]# find /dev -type f
    /dev/MAKEDEV
  • /dev/MAKEDEV 등과 같이 device를 관리하고자 하는 파일 이외의 것이 검색되면 일단 의심해봐야 합니다.

    라. /tmp

  • tmp 디렉토리에 알수 없는 소유권자와 실행파일들이 있으면 의심을 해볼 필요가 있다.
    ls -al /tmp

    마. lsattr 명령어

  • [root@ancigo root]# /usr/bin/lsattr /bin
  • [root@ancigo root]# /usr/bin/lsattr /sbin
  • [root@ancigo root]# /usr/bin/lsattr /usr/bin
  • [root@ancigo root]# /usr/bin/lsattr /usr/sbin
  • 관리자가 특별하게 속성을 넣어주지 않으면 ex> ------------- /bin/ls 형식으로 나타난다.

    바. ifconfig 명령

  • 크래커가 설치한 rootkit에 의해 ifconfig 파일까지도 변조 될수도 있다. Ifconfig 명령 결과 다음과 같이 PROMISC 모드로 나타나는 경우 해당서버에서 스니퍼가 돌고 있다는 증거입니다. .
  • [root@ancigo root]# /sbin/ifconfig
    inet addr: xxx.xxx.xxx.xxx Bcast: xxx.xxx.xxx.xxx Mask: 255.255.255.0
    UP BROADCAST RUNNING PROMISC MULTICAST

    사. netstat 명령

  • [root@ancigo root]# /bin/netstat ?an | grep LISTEN
    tcp 0 0 127.0.0.1:8005 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
  • 위와같은 명령으로 서버에 열린 포트를 확인하여 의심가는 포트가 있다면 포트를 물고 있는 데몬을 찾아 봅니다.

    아. [root@ancigo root] # vi /etc/passwd 파일을 열어서 알수 없는 사용자가 추가 되어 있으면 의심을 해봐야 한다.

    3.결론
    해킹을 판단하는 것보다 예방이 무엇보다 중요하다. 하지만 해킹이 의심된다면 문제를 잘 파악해서 해킹에 의해 피해를 본 시스템을 복구해야 한다.


  • 참고로 제가 운영중인 카페에 있는자료들입니다.

    가입하셔도 보실수 없는 자료들입니다.

    http://cafe.naver.com/itgogo.cafe



    1. No Image 31Mar
      by l2zeo
      2010/03/31 by l2zeo
      Views 27817 

      리눅스 보안 - 권한설정에 주의해야할 명령어들은 ?

    2. No Image 28Mar
      by l2zeo
      2010/03/28 by l2zeo
      Views 11629 

      안티 루트킷 사용 예

    3. No Image 24Mar
      by ADMINPLAY
      2010/03/24 by ADMINPLAY
      Views 9725 

      리눅스 - iptables NAT rule

    4. Cisco/Tip/라우터,스위치에서 패킷 캡쳐하기

    5. No Image 08Mar
      by l2zeo
      2010/03/08 by l2zeo
      Views 9901 

      해킹이 의심될 때 사용되는 명령어들

    6. iptables 리눅스? NETFILTER관련

    7. No Image 08Mar
      by l2zeo
      2010/03/08 by l2zeo
      Views 8781 

      LINUX 해킹당했을 때 대처요령

    8. No Image 08Mar
      by l2zeo
      2010/03/08 by l2zeo
      Views 8229 

      파일 퍼미션 설정을 통한 로컬 공격 방지

    9. No Image 08Mar
      by l2zeo
      2010/03/08 by l2zeo
      Views 8449 

      SSH 공격막아내기 방법

    10. No Image 30Jan
      by ADMINPLAY
      2010/01/30 by ADMINPLAY
      Views 8549 

      Tcpdump 용어 정리

    11. 홈페이지 보안 강화 도구(CASTLE) 보급 안내

    12. No Image 13Dec
      by ADMINPLAY
      2009/12/13 by ADMINPLAY
      Views 8842 

      Kernel 2.4.23 버전 이하에 나온 ptrace 버그에 관한 사항

    13. No Image 30Nov
      by ADMINPLAY
      2009/11/30 by ADMINPLAY
      Views 8357 

      lsof 활용 가이드

    14. No Image 30Nov
      by ADMINPLAY
      2009/11/30 by ADMINPLAY
      Views 9824 

      실전 테스트!! 스니퍼 공격

    15. No Image 30Nov
      by ADMINPLAY
      2009/11/30 by ADMINPLAY
      Views 9311 

      해외에서 접근하는 IP 차단하기

    16. No Image 30Nov
      by ADMINPLAY
      2009/11/30 by ADMINPLAY
      Views 8917 

      iptables 옵션 및 상태 추적 테이블 및 rule

    17. No Image 20Oct
      by ADMINPLAY
      2009/10/20 by ADMINPLAY
      Views 11576 

      ossec 로그 분석 툴 설치

    18. No Image 20Oct
      by ADMINPLAY
      2009/10/20 by ADMINPLAY
      Views 8444 

      SSH(Security SHell) 보안쉘

    19. No Image 15Oct
      by ADMINPLAY
      2009/10/15 by ADMINPLAY
      Views 9091 

      홈페이지 변조 대처법 (FTP 계정을 이용한 아이프레임 코드 삽입)

    20. No Image 15Oct
      by ADMINPLAY
      2009/10/15 by ADMINPLAY
      Views 10869 

      iframe 이용한 악성코드 삽입, 홈페이지 변조 사고 대비 대응책

    Board Pagination Prev 1 2 3 4 5 Next
    / 5

    Copyright ADMINPLAY corp. All rights reserved.

    abcXYZ, 세종대왕,1234

    abcXYZ, 세종대왕,1234