현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

[질문] 해커가 침입했어요.. 다른 사용자 계정의 행동(키입력)

offree의 이미지
글쓴이: offree / 작성시간: 수, 2003/05/14 - 12:12오후

안녕하세요. ^^

다름이 아니라. 제가 하나 다른사람의 서버를 맡게 되었는데..
이것이 해킹을 당한듯합니다. 정확히 조사는 안해봤지만, 악성 은 아니것 같고.
irc 로 쓰는 것 같아요. eggdrop 이라는 것으로..

이 서버가 한동안 관리가 안된것 같더군요. 그래서 그 해커(?)도 눈치는 못챈것
같구요. 보니. "대만" 쪽 IP 더군요.

서버 갈아 엎기전에 이 사용자가 어떤행동을 하는지 좀 알아보려는데요.
이 사용자가 키입력하는 것을 알 수 있는 방법이나 tool 이 있는지요?

패킷을 검사하는 방법으로 할 수 있을 것 같은데. tool 이 있거나 소스가 있다면
조언 부탁합니다.

서버를 오늘,내일 중으로 갈아 엎어야 겠습니다.

그럼..

Forums: 
설치 및 활용 QnA
ai의 이미지

글쓴이: ai / 작성시간: 수, 2003/05/14 - 12:21오후

key logger 툴은 검색해보시면 찾으실 수 있구요. 콘솔에서의 키 입력만 감시할 수 있는지, 리모트 접속에서의 입력도 되는지는 잘 모르겠네요.

원하시는 내용과는 좀 다르겠지만 프로세스 감시라면 psacct 가 있습니다. 키 입력 대신 실행된 프로세스를 기록해 줍니다.

$ rpm -qi psacct
Name        : psacct                       Relocations: (not relocateable)
Version     : 6.3.2                             Vendor: MandrakeSoft
Release     : 12cl                          Build Date: Sat 16 Nov 2002 10:24:38 PM JST
Install date: Sat 16 Nov 2002 10:26:43 PM JST      Build Host: somewhere.over.the.rainbow
Group       : Monitoring                    Source RPM: psacct-6.3.2-12cl.src.rpm
Size        : 169503                           License: GPL
URL         : ftp://prep.ai.mit.edu/pub/gnu/
Summary     : Utilities for monitoring process activities.
Description :
The psacct package contains several utilities for monitoring process
activities, including ac, lastcomm, accton and sa.  The ac command
displays statistics about how long users have been logged on.  The
lastcomm command displays information about previous executed commands.
The accton command turns process accounting on or off.  The sa command
summarizes information about previously executed commmands.

Install the psacct package if you'd like to use its utilities for
monitoring process activities on your system.

War doesnt determine whos right, just whos left.

offree의 이미지

글쓴이: offree / 작성시간: 수, 2003/05/14 - 1:34오후

ai wrote:
key logger 툴은 검색해보시면 찾으실 수 있구요. 콘솔에서의 키 입력만 감시할 수 있는지, 리모트 접속에서의 입력도 되는지는 잘 모르겠네요.

원하시는 내용과는 좀 다르겠지만 프로세스 감시라면 psacct 가 있습니다. 키 입력 대신 실행된 프로세스를 기록해 줍니다.

원격으로 접속 할 텐데.. 키입력 이 아닌 패킷을 검사해야 할 것 같은데.
이쪽관련은 없는지요?

답변 감사합니다.

사용자가 바꾸어 나가자!!

= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com

송지석의 이미지

글쓴이: 송지석 / 작성시간: 수, 2003/05/14 - 3:20오후

별로 아는 것은 없지만 그냥 생각나서 글 올리는데요.

홈디렉토리의 .bash_history를 뒤져보실 수 있지 않을까요? (해커가 bash를 쓴다면요)


rommance.net

offree의 이미지

글쓴이: offree / 작성시간: 수, 2003/05/14 - 7:44오후

송지석 wrote:
별로 아는 것은 없지만 그냥 생각나서 글 올리는데요.

홈디렉토리의 .bash_history를 뒤져보실 수 있지 않을까요? (해커가 bash를 쓴다면요)

확인해 보았구요. 몇가지 해킹툴을 시도한 듯 합니다.
root 권한을 획득했는지 확인을 못 해봤구요.(이것을 확인하려고요..)

IRC (eggdrop 이 irc 맞죠?) 를 쓰는 대만(thiland) 쪽 .. 해커인것 같습니다.

악의적인 것 같지는 않지만,.. 계정의 비밀번호를 우연히 안것인지
다른 방법으로(백도어 같은..) 들어왔는지 미끼(?)를 넣고 감시를 해볼려고
합니다.

누구 아시는분 도움좀 부탁드려요..

사용자가 바꾸어 나가자!!

= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com

마에노의 이미지

글쓴이: 마에노 / 작성시간: 목, 2003/05/15 - 9:40오후

패킷을 보고 싶으시다면 tcpdump를 사용해 보세요.

-X 옵션을 주시면 날아오고 나가는 패킷을
16진수와 ascii 모두 볼 수 있어서 편하거든요.

-s length 를 주면 패킷을 default로 잡힌 68 byte 보다
긴 패킷도 끊임없이 화면에서 볼 수 있답니다.

tcpdump -s 256 -X host 상대방IP > a.out &

이렇게 해놓으시면 상대가 어떤 일을 하는지
기록에 다 남겠죠.

offree의 이미지

글쓴이: offree / 작성시간: 목, 2003/05/15 - 9:54오후

마에노 wrote:
패킷을 보고 싶으시다면 tcpdump를 사용해 보세요.

-X 옵션을 주시면 날아오고 나가는 패킷을
16진수와 ascii 모두 볼 수 있어서 편하거든요.

-s length 를 주면 패킷을 default로 잡힌 68 byte 보다
긴 패킷도 끊임없이 화면에서 볼 수 있답니다.

tcpdump -s 256 -X host 상대방IP > a.out &

이렇게 해놓으시면 상대가 어떤 일을 하는지
기록에 다 남겠죠.

tcpdump 를 사용해 보니 패킷을 다 볼 수 있는 것 같군요.

헉!! 그런데 좀 알아보기가 힘드네요..

21:46:28.161081 eth0 > aaaaaa.telnet > bbbbbbbbbb.
48751: P 3392:3411(19) ack 143 win 32120 <nop,nop,timestamp 1864664627 180400685
4> (DF)
21:46:28.161211 eth0 < bbbbbbbbbb.48751 > aaaaaaaaa.t
elnet: . 143:143(0) ack 3411 win 17208 <nop,nop,timestamp 1804006854 1864664627>
(DF)

이런식으로 나오네요.. 단순히 어떤 입력을 주는지 확인해볼려고 하는데.
모든 패킷을 보니 어렵군요.. ^^

여기서 키입력만 뽑을 수는 없는 것이죠??

답변 감사하구요. ^^

사용자가 바꾸어 나가자!!

= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com

마에노의 이미지

글쓴이: 마에노 / 작성시간: 목, 2003/05/15 - 10:21오후

키 입력만 따로 볼 순 없구요.
shell로 짜셔야 합니다.

쓰신 글 중에서 P 3392:3411(19) 처럼 가로 안에
숫자가 헤더를 제외한 패킷의 길이이기 때문에 0 이 아닌
것만 긁어서 보시면 됩니다.
물론 X 옵션에 보이는 값들은 헤더도 포함입니다만.

길이가 0 인 것들은 syn, syn ack, ack, fin, fin ack 입니다.

gilsion의 이미지

글쓴이: gilsion / 작성시간: 금, 2003/05/16 - 12:17오전

마에노 wrote:
패킷을 보고 싶으시다면 tcpdump를 사용해 보세요.
기록에 다 남겠죠.

캐빈 미트닉이 이걸로 잡혔던가요 : -)

tcpdump 로 잡으려면 많은 인내심이 요하겠죠

offree의 이미지

글쓴이: offree / 작성시간: 금, 2003/05/16 - 7:28오후

아무래도 tcpdump 는 조금 힘들겠군요.

다른 것을 찾아봐야 겠네요.

감사!!

마에노 wrote:
키 입력만 따로 볼 순 없구요.
shell로 짜셔야 합니다.

쓰신 글 중에서 P 3392:3411(19) 처럼 가로 안에
숫자가 헤더를 제외한 패킷의 길이이기 때문에 0 이 아닌
것만 긁어서 보시면 됩니다.
물론 X 옵션에 보이는 값들은 헤더도 포함입니다만.

길이가 0 인 것들은 syn, syn ack, ack, fin, fin ack 입니다.

사용자가 바꾸어 나가자!!

= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com

서지훈의 이미지

글쓴이: 서지훈 / 작성시간: 토, 2003/05/17 - 10:27오전

이 tool도 아주 강력하고 사용이 쉬운 tool이니 한 번 사용해 보세요.

<어떠한 역경에도 굴하지 않는 '하양 지훈'>

#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);

fx2000의 이미지

글쓴이: fx2000 / 작성시간: 토, 2003/05/17 - 1:02오후

어디서 정리해 논건지는 잘 기억이 안나는데..--a...
올려봅니다...
도움되시길...(나쁜 :evil: 용도로는 사용하지 마세요~ :P )

특히 ethereal 강추입니다~~^^..네트워크 공부할때도 유용하구요~

Tcpdump
OS : UNIX Environment
네트웍상에 오가는 모든 패킷들을 캡쳐하는 툴이다.
모든 패킷을 캡쳐하므로 password 스니퍼의 기능도 할 수 있지만 불편해서 해커들은 간단한 패스워드 스니퍼를 이용한다.
관리자들은 패킷을 조건에 맞게 캡쳐하는 법과 기록된 로그를 분석하는 법을 알아야 남겨진 로그가 의미가 있으므로 document를 필히 읽어보아야 할 것이다.
인터페이스가 매우 간결하면서 깔끔하게 되어 있어서 help기능이 없어도 쉽게 쓸 수 있다.
많은 정보를 보여주므로 캡쳐된 로그를 분석하는 일이 쉽지 않다.
다운로드 : http://www.tcpdump.org/
참고문서 : Sniffers: What are they and How to Protect From Them
참고문서 : Sniffing (network wiretap, sniffer) FAQ, Robert Graham, 2000

sniffit
OS : Linux, Unix
libpcap을 사용하여 포팅이 쉽도록 하였다.
TCP, IP, ICMP, UDP중에서 유일하게 TCP 패킷만 로그 파일로 기록이 되는데 나머지 프로토콜은 화면출력만이 가능하다.
다운로드 : http://reptile.rug.ac.be/~coder/sniffit/sniffit.html , otherplace

dsniff
OS : OpenBSD (i386), Redhat Linux (i386), and Solaris (sparc)
스위치 환경과 SSL, SSH의 사용을 무색하게 만드는 패스워드 스니퍼.
SSL과 SSH 버전 1의 패스워드를 가로챈다.
arpspoof, dnsspoof등의 유틸리티를 포함하고 있어 다양한 환경에 대응한다.
다운로드 : http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz
참고 문서
Attacks Against SSH 1 and SSL
Why Your Switched Network Isn't Secure
The End of SSL and SSH?

Ethereal
OS : Linux, Unix environment, Win 98/NT
Requirements
무료의 유닉스와 윈도우에서의 Network Protocol 분석기이다.
capture한 데이터를 파일로 보관할 수 있으며, tcpdump (libpcap), NAI's Sniffer (compressed and uncompressed), Sniffer Pro, NetXray, snoop, Shomiti, AIX's iptrace, MS Network Monitor, Novell's LanAlyzer, RADCOM's WAN/LAN Analyzer, HP-UX nettl, ISDN4BSD, Cisco Secure IDS iplog, 그리고 the pppd log (pppdump-format)와 같은 것들에서 나온 capture파일을 분석할 수 있다.
ethernet이나 FDDI, PPP, token-ring, X.25, Classical IP over ATM interfaces 의 환경에서 사용할 수 있다.
capture한 데이터는 display filter를 통해 걸러서 원하는 부분만 볼 수 있다.
다운로드 : http://www.ethereal.com/download.html
 

Antisniff - Sniffing Detection

solsniffer - Solaris Sniffer

linsniffer - Linux Sniffer

세상은 견고하고 삶은 유희가 아니다...

offree의 이미지

글쓴이: offree / 작성시간: 토, 2003/05/17 - 3:56오후

서지훈 wrote:
이 tool도 아주 강력하고 사용이 쉬운 tool이니 한 번 사용해 보세요.

<어떠한 역경에도 굴하지 않는 '하양 지훈'>

sniffit 이라는 것을 우선 설치해서 확인해 보았습니다.

일단 서버에 접속하는 것이 다 보이는 군요..
ssh 는 당연하지만, 알아볼 수 없구요..

telnet 은 입력한 문자 그대로 나오는 군요.

우선 미끼를 던져놓고 기다리고 있는데.. 걸려 들지 모르겠네요..
"대만" IP 를 쓰는 해커인데.. eggdrop 이라는 irc 서버 인것 같음..

채팅 하는 것도 한자 가 보이는 것으로 봐서.. 경유해서 들어오는 것 같지는
않군요.. 악성 해커도 아닌듯 합니다.

sniffit 으로 우선 행동을 관찰해 볼 까 합니다.

그럼.

ps. 이번만 눈치 못 챈다면. 또 다른 미끼로 정보를 더 알아내 봐야 겠습니다..

사용자가 바꾸어 나가자!!

= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.