LINUX 해킹당했을 때 대처요령
1. 해커가 침투했다면 부팅관련 init를 변경했을 위험이 있다.
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
만약 변경되었다면 부팅이 되지 않는다.
/etc/rc.d 에 보면 init가 있다.
서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠.
마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요
그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠
만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠
이럴 경우는 복원모드로 들어가서 작업해줘야 되죠
복원모드는 linux rescue
** 참고
파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요.
그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요)
/database, /log, /home 등은 독립파티션으로~
위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠
2. 변경되어있는 명령어 있나 확인
lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인
lsattr /sbin/* | more
만약에 변경되어 있다면,
rpm -qf 변경된명령어 하면 변경된명령어가 포함된 패키지명이 나온다
이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다.
예를들어서 /bin/su 명령어가 변경되었을 경우,
[root@ecweb-7 tmp]# rpm -qf /bin/su 해보면
coreutils-4.5.3-19.0.2 패키지명이 출력되죠
이것을 재설치해주면 된다.
참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639
3. 백도어 찾기
find /dev -type f 해서
MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임
4. 프로세서 검색
netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면,
프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면
스크립트 돌아가고 있는 디렉토리 위치 보여짐
여기에서 rm -rf 명령을 이용하여 삭제
** PID값이란?
프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다.
예를들어서,
ps -aux 했을 때 아래의 프로세스가 악성일 경우
nobody 13338 0.3 0.8 17084 9272 ? S 13:06 1:13 /usr/local/apache/bin/httpd
ls -al /proc/13338 해보면
lrwxrwxrwx 1 root 1001 0 9월 17 18:17 exe -> /usr/local/apache/bin/httpd
식으로 경로추적되요
대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데
exe -> 위치가 /var/tmp 혹은 /tmp 이에요
요런건 바로 삭제해줘야죠
이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~
부타카케~~ 부타카케~~ 상처받지 않기를~~~<div class='small'>[이 게시물은 관리자님에 의해 2011-10-31 17:32:05 Linux에서 이동 됨]</div>
|
댓글을 작성하시려면 로그인이 필요합니다.
프로그램
태그 필터 (최대 3개)
전체
개발자
소스
기타
mysql
팁자료실
javascript
php
linux
flash
정규표현식
jquery
node.js
mobile
웹서버
os
프로그램
강좌
썸네일
이미지관련
도로명주소
그누보드5
기획자
견적서
계약서
기획서
마케팅
제안서
seo
통계
서식
통계자료
퍼블리셔
html
css
반응형
웹접근성
퍼블리싱
표준화
반응형웹
홈페이지기초
부트스트랩
angularjs
포럼
스크린리더
센스리더
개발자톡
개발자팁
퍼블리셔톡
퍼블리셔팁
기획자톡
기획자팁
프로그램강좌
퍼블리싱강좌
댓글 2개
/dev/.udev.tdb
출력이 되는데요.
이는 백도어가 아니라고 합니다. 참조링크
http://linux-sarang.net/board/?p=read&table=qa&no=211741
http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html
http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw