화일이 보이지도 않고 find로 찾아보아도 나오는게 없는데...
글쓴이: kihoori / 작성시간: 월, 2003/04/21 - 7:34오후
화일이 보이지도 않고 find로 찾아도 나오지 않습니다..
그렇지만... 그렇지만.. cd 로 들어 가지는데요..ㅡ.ㅡ;;
이게 어떻게 된거죠..
쉽게 납득이 안가시는건 알겠지만..
디렉토리 temp가 있습니다..
위치는 /home/temp 이죠..
그런데.. /home위치에서 ls -al 쳐도 temp 가 보이지 않습니다..
find / -name temp해도 결과는 안나옵니다..
그런데 cd /home/temp하면 디렉토리에 들어가 집니다
그리고 temp에서 ls 치면 그안에 저장해논 화일도 나옵니다..
도데체 어떻게 된걸까요?
Forums:
혹시..
혹시 퍼미션 문제는 아닌가요?
find or ls 로 확인은 불가하지만 ( read 권한이 없다면 )
x권한만 디렉토리에 있다면 cd로 들어갈 수는 있습니다.
그리고 cd로 들어갈 수 있는 디렉토리의 부모 디렉토리 711이면
cd로 들어갈 수 있는 현재 디렉토리는 보이지는 않습니다.
두번째로 LKM ( Linux Kernel Module ) Backdoor일 수도 있습니다.
system call table을 변경해 특정 디렉토리를 안보이게 할 수도 있습니다.
그외는 잘 모르겠네요 ..
행복하세요 ^_^
그건 아닌거 같아요..
퍼미션 문제는 아닌듯 합니다..
유저는 바로 슈퍼유져..root이거든여..
그리고 퍼미션이라면 .. 최소한 보이긴 합니다..
그리고 안보이는 temp안에 있는 화일들 전부 vi로 에디트 가능하구여
backdoor가 깔린 경우일 수도 있습니다. ls가 바뀌어 있다거나..
backdoor가 깔린 경우일 수도 있습니다. ls가 바뀌어 있다거나..
특정 화일만 안보이는건..
특정 디렉토리만 안보이는데요.. 음..
그렇게 설정이 가능한가요??
하지만 어느 계정으로 보던지 그렇게 보이거든여..ㅜ.ㅜ
[quote="MyCluster"][root@node01 tmpd
이 부분에서도
[root@node01 tmpdir]# ls -l
total 0
이렇게 나옵니다..
그러니깐 다시 말한다면
[root@node01 tmpdir]# pwd
/tmpdir
[root@node01 tmpdir]# ls -l
total 0
[root@node01 tmpdir]# cd scratch02
[root@node01 scratch02]# cd ..
[root@node01 tmpdir]# pwd
/tmpdir
[root@node01 tmpdir]# ls -l
total 0
[root@node01 tmpdir]#
이렇게 되는 것이지요..
어떻게 해도 보이지가 않습니다..
현재 화일 시스템 구성이
/ :첫번쨰 파티션
/home : 두번째 파티션
/home/DataBase : 세번째 파티션
이렇게 나누어서 쓰고 있습니다.
지금 리부팅을 시도 하려 하는데..
혹시나 해서 그냥 리부팅을 시도 하려 하는데요..
이렇게 나오면서 리부팅이 안되네요..ㅡ.ㅡ;;
이것도 뭔가 연관이 있는것 같은데..
rootkit 이 설치되어 있네요. 시스템을 점검해 보시기 바랍니다.
rootkit 이 설치되어 있네요. 시스템을 점검해 보시기 바랍니다.
War doesnt determine whos right, just whos left.
헉..
지금 잠시 보니깐 해킹 프로그램이네요..rootkit...
적절한 대처법등을 알려주실순 없는지요??
혹은 대처방법이 담겨 있는 참조 할수 있는 링크를 부탁드립니다..
지금 보니..
루트킷의 설치 디렉토리를 찾았습니다..
먼저 참 어이 없네요..
설치 된곳은 이미 알려진곳과는 차이가 있었습니다..
일단 설치된 폴더에서 루트킷의 비밀번호저장 화일에
키값을 망쳐 놓았는데요
일단 급한게 안보이게 된 화일들 돌려 놓는거하고
결국에는 루트킷을 지워야 겠는데..
절차 같은것을 소개 하는곳을 저의 힘으로는 찾을수가 없네요..
여러분들의 도움을 요청합니다.
몇가지 첨언하면요.보통 리눅스 박스가 평소와는 다른 이상한(?)
몇가지 첨언하면요.
보통 리눅스 박스가 평소와는 다른 이상한(?) 반응을 보이면 크래커의 침입을 의심해 보셔야 합니다. ls 명령을 내렸더니 컬러가 뜨지 않는다든가 (이런 경우는 ls가 해킹 버전으로 바뀌어 있는 경우가 많습니다. 특히 8-bit 문자권인 우리나라에서는 ls 의 --show-control-chars 옵션이 안먹는 경우가 많습니다.) 평소와는 다른 모양으로 파일 리스트 출력을 해 주면 일단 의심을 하셔야 합니다.
간단하게 침입을 탐지할 수 있는 방법중의 하나는 /bin/login 을 체크해 보는 것입니다. 원래 리눅스 배포본에 탑재되는 /bin/login은 무척 사이즈가 작습니다. 수십 kb분량입니다. 그런데 보통 루트킷이 깔리면 해커가 추가적인 기능을 여기에 넣기 때문에 사이즈가 불어납니다. 혹은 /bin/login이 간단한 쉘 스크립트로 대치되고 크래커가 자신의 아이디를 넣으면 해킹된 login이 실행되는 경우도 있습니다.
제가 당한 경우는 보통 루트킷이 /dev 디렉토리 아래에 깔리는 경우가 많았습니다. 여기에 hidden file로 디렉토리를 만들고... ls를 바꿔치기해서 ls -al 명령으로는 아예 이 디렉토리가 안보이게 만들어 놓죠. 이럴때 다른 컴퓨터에서 ls를 가져와서 실행시켜보면 이 디렉토리들이 보입니다. 쫌... 황당하죠. 뭔 나쁜 짓을 하고 싶어서 이정도까지 보안에 신경을 쓰나 싶고 그렇습니다.
보통 루트킷이 깔리면 login, ps와 같은 기본 프로그램들이 다 바꿔치기 됩니다. 특히, 스니퍼가 돌고 있는데 이 스니퍼가 ps 에서 탐지가 안되고 있다가 나중에 일이 커지는 경우가 많습니다. 가끔 루트킷에서 ps는 바꿔치기해도 top은 까먹는 경우가 있는데 top 까지 바꿔치기하는 루트킷도 많으니 안심하시면 안되구요.... 스니퍼가 돌고나면 이미 때는 늦은 것이죠. 공지 보내서 모두 패스워드 다 바꾸어야 하고.... 그래도 패스워드 구경하니 재미는 있더군요. 워크래프트를 좋아하는 제 친구 중의 하나는 패스워드로 bloodlust를 쓰더라는. --;
침입 탐지에는 여러가지 방법이 있습니다만 제일 흔히 쓰는 방법은 tripwire등을 통해서 매일매일 setuid된 파일의 리스트를 체크하는 겁니다. 이상한 파일에 setuid가 있으면 일단 의심해봐야죠.
일단 이쯤 적겠습니다. 자리 비울일이...
"I conduct to live,
I live to compose."
--- Gustav Mahler
[하양] 그냥 시스템 밀고 다시 설치를...
이런한 경우는 중요한 데이타만 백업을 한 후...
시스템을 밀고 다시 서치를 하시는게 가장 좋은 방법입니다.
물론 rootkit을 탐지하는 util도 있긴 하지만...
rootkit사용자가 파일의 이름 몇개만 바꾸고...
이상한 곳에 백도어를 또 심어 놨다면 이건 찾는건 거의 포기를 해야합니다.
그러니 깨끗한 시스템을 유지하기 위해선...
확실하고 중요한 데이타만 백업을 한 후 다시 설치를 하세요...
<어떠한 역경에도 굴하지 않는 '하양 지훈'>
#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);
저도 얼마전에 해킹을 당했었는데요 -_-일단 최대한 찾아야 합니다
저도 얼마전에 해킹을 당했었는데요 -_-
일단 최대한 찾아야 합니다.
lsattr /bin 해보면 i세팅이 되어있거나 해서 지울 수 없는 경우가 있고요.
제가 겪은 경우엔
dir find ifconfig init locate login ls lsof md5sum netstat ps pstree slocate syslogd top updatedb
파일들이 다른 것으로 바꿔치기 되어있더군요.
그래서 깨끗한 파일들로 복사해온 뒤에 검색해보니 ps에 안나오던 프로세스들이 보이더군요.. 그걸 죽여주고.. 그 실행 파일을 찾아 그 디렉토리를 지웠습니다.
(chkrootkit이란 프로그램으로 어느정도 검색 가능하다고 합니다. 저의 경우는 검색 되더군요.)
저는 여기 분들의 도움을 받아 설치된 루트킷의 종류를 알아내고 검색엔진에서 설명을 찾아서(독일어로 되어있더라는... 루트킷의 셸 소스도 독일어고.. -_-) /usr/src/linux/file.h 라는 파일에 있는 (이것도 루트킷이 설치한 파일) 이름들을 죽 찾아본 결과 ssh를 두개나 깔아놓고 이것저것 많이도 해놨더군요..
일단 그렇게 찾아내고, lsattr로 지울 수 없게 만들어둔 파일들을 전체를 걸쳐 찾아본다음(물론 루트킷 파일 전체가 그럴 거라 확신할 수는 없지만) 날짜별로 찾고해서 의심가는 것들을 없앴습니다.
저도 이렇게 응급 복구 하고 자료 백업 한다음 다시 깔 생각인데요.. 시간이 없어서 백업을 아직 다 못했기 때문에 방화벽으로 막고 아직도 돌리고 있습니다. 어차피 혼자 쓰던 PC기 때문에... 웹서버도 일기쓰는데 쓰고.. -_-v
님께서도 일단 응급 복구 하시고 백업하신 다음 새로 까시는 게 좋을 것 같네요..
rommance.net
몇가지만 덧붙이면요...리눅스에서 해킹은 흔한 일입니다. 윈도우즈
몇가지만 덧붙이면요...
리눅스에서 해킹은 흔한 일입니다. 윈도우즈에 바이러스가 있다면, 리눅스에는 크래커가 있습니다. :)
그런데 보안이라는 것이... 서버 작동이 중단되면 바로 금전적인 손실로 이어지는 기업의 경우가 아니라면 그렇게 부담되는 일이 아닙니다. 일주일에 한두번 정도 업데이트만 시켜줘도 웬만한 침입은 방어할 수 있습니다. 방화벽과 같은 솔루션을 깔기보다 오히려 쓸데없는 서비스를 중단하고 필요한 포트만 연 다음 관리를 잘해 주는게 오히려 더 좋습니다.
그리고 조심해야 하는 것이 사실은 서버의 일반 유저들입니다. 스크립트로 열려있는 포트를 집적거려 버퍼 오버플로우를 일으켜 서버를 접수하기는 어렵지만 상대적으로 서버의 일반 유저가 꽁수를 부려 루트가 되기는 쉽다고 합니다. (못해봐서 잘 몰라요... :) ) 패스워드를 지나치게 간단하게 만드는 것은 처음부터 못하도록 정책을 잡아야 합니다. 특히, 일반 유저 어카운트가 해커에 접수되었을 경우는 운영자 입장에서는 별로 의심할 이유가 없기 때문에 한참 지나서야 해킹당한 것을 알게 되는 수도 있습니다.
시스템은 새로 까셔야 할 겁니다. 백도어가 여럿 있을텐데 그 중하나라도 남아 있으면 또다시 크래커가 그걸 이용해서 들어올테니까요. 뚫리는 건 잠깐인데 복구하는 건 한참 걸립니다. --;
이쯤 적겠습니다.
"I conduct to live,
I live to compose."
--- Gustav Mahler
주기적으로 업데이트 관련해서 한가지 궁금한 게 있는데요.저같은 경
주기적으로 업데이트 관련해서 한가지 궁금한 게 있는데요.
저같은 경우는 레드햇 8.0이었는데
up2date로 주기적으로 업데이트를 해줬는데도 해킹을 당했답니다.
제 생각에는 아마도 ssh와 아파치를 rpm의존성 문제, 설치 세팅 문제에 걸려서 소스 설치하고 업데이트를 안했던 것 때문에 해킹을 당한 것 같은데요.
그렇다면 주기적으로 업데이트를 한다는 것은 rpm이나 데비안 패키지등으로 설치하지 않은 경우엔 소스를 주기적으로 받아다 컴파일 해야 되는 것 같은데 너무 힘들지 않나요?
음.. 현실적으로 저같이 느린 시스템 사용자는 rpm과 같은 미리 컴파일된 패키지를 깔고 주기적으로 업데이트 하는 방법 밖에 없는 걸까요?
rommance.net
여러분의 도움감사드립니다.
일단 내일 다시 깔기로 했구여..
방법이 없네요.. 어떻게 이 백도어 다 찾아 낼 힘도 없구해서..ㅡ.ㅡ;;
이번에는 보안에 대해 많이신경써서 하려구여..
일단은 tcp wrapper로 모든 포트를 막으려 하는데요..
특정아이피에서 접속하는 ssh를 제외한 모든 것을 막으려 하는데요..
tcp wrapper로 막는것과 iptable로 막으려 하거든요..
이정도면 우선은 새 섭의 납땜으로 가능하지요??
사용하지 않는 포트를 막는것 그리고 그 이후에 어떤것들을 해줘야 하는지 ..
아직도 막막하네요.. 어제 낮에 일어나서 한숨도 몬자고 지금 한 3시간 자고 일어 났네요.. 이제부터 새출발!!
일단 rpm정보변경이 있는지확인해 보시면 ...
초기 리눅스 설치시의 rpm 정보와 현재의 rpm 정보를 비교해 보세요
아마 reboot 니 ls 니 하는 정보들이 변경되어있다고 보여집니다.
물론 누군가 그 시스템에 접근을 하여 장난을 친거겠죠
log파일 뒤져보셔도 아마 접근log는 찾기 힘드실거 같구요
가장 좋은 방법은 새로 시스템을 쏴~악~ 미는것이죠
http://linuxcamp.co.kr
[하양] 보안에선 왕도는 없습니다.
매일 업데이트가 아니라..
한시간, 1분 단위로 해도 뚤리는 시스템은 뚤리게 되어 있습니다.
업데이트라는게...
일단 구멍이 있는 부분만 납땜 하는 것이기 때문에...
아직 알려지지 않은 부분이 한군데라도 있으면 그 부분은 언젠가는 뚤리게 됩니다.
그래도 업데이트가 필요한건 이미 알려진 방법으로는 최소한 뚤리지 않게 하기 위한 것입니다.
업데이트를 했다고 100% 안뚤린다는 환상을 버리시길...
자신의 시시템은 언제 어디서든 항상 뚤릴 수 있다는 자신감을 가지시길...^^
이게 보안의 기본이겠죠...
<어떠한 역경에도 굴하지 않은 '하양 지훈'>
#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);
가장 좋은 방법은...쓸데 없는 서비스 닫는 게 가장 좋습니다.
가장 좋은 방법은...
쓸데 없는 서비스 닫는 게 가장 좋습니다. :)
비밀번호 관리 잘하시구요...
요즘도 스니핑 당해서 뚤리는 데가 있더군요 .. ㅡㅡ;;;;
필요한 서비스를 최소한으로 깔고, 그 서비스에 대한 업데이트에 최선을
다한다면, 쉽게 뚫리지는 않습니다. ^^
이것저것 실험하는 서버라면...
외부에 제공하는 서비스만 놔두고 파이어월로 막아놓고 노는편이 좋습니다.
그리고 같은 네트워크 세그먼트 상의 컴퓨터를 믿지 마세요. 그것들을 경유해서
해킹하는 경우가 많습니다. 일단 하나 뚤리고 나면 거기를 거점으로 스니핑을
이용해서 여기저기 뚫어지는 경우가 많더군요. 특히 클러스터.. 쥐약입니다.
클러스터 한대마나 전부 인터넷에 연결해 둬서 ㅡㅡ;;; 한대 뚫리고 나면...
나머지는 다 rlogin 으로..
요즘은 telnet은 그나마 안 쓰는데, ftp 에 입력하는 암호를 스니핑 하는 경우가 더 많더군요. 머 스니핑은 여러가지 면에서 점점 없어져가지만요 ^^
쉘 서비스 제공 안하면 해킹 당할 확률 진짜 많이 떨어집니다.. :)
그럼~
[quote="wish"]요즘은 telnet은 그나마 안 쓰는데, f
최근의 스니핑의 경향은 사용자들이 슬슬 telnet에서 ssh로 옮겨 가다 보니까 오히려 pop3나 imap을 노리는 경우가 많습니다. 이게 골치아픈 것이 telnet이나 ftp는 오히려 자주 접속을 안하는 편이니까 상대적으로 소수의 사용자들만 비번이 노출되는 셈인데 이 pop3는 대다수의 유저들이 사용하는 서비스이다보니 pop3포트가 스니핑을 당하면 피해가 큽니다.
따라서 pop3나 imap 포트에 대한 스니핑을 방지하기 위해서는 암호화된 pop3나 imap 서비스만을 제공하는 것이 좋고 규모가 큰 서버라면 아예 원천적으로 kerberos와 같은 방법으로 패스워드 자체가 네트워크에 떠도는 일을 막아버리는 것이 좋습니다.
"I conduct to live,
I live to compose."
--- Gustav Mahler
댓글 달기