[질문] 해커가 침입했어요.. 다른 사용자 계정의 행동(키입력)
글쓴이: offree / 작성시간: 수, 2003/05/14 - 12:12오후
안녕하세요. ^^
다름이 아니라. 제가 하나 다른사람의 서버를 맡게 되었는데..
이것이 해킹을 당한듯합니다. 정확히 조사는 안해봤지만, 악성 은 아니것 같고.
irc 로 쓰는 것 같아요. eggdrop 이라는 것으로..
이 서버가 한동안 관리가 안된것 같더군요. 그래서 그 해커(?)도 눈치는 못챈것
같구요. 보니. "대만" 쪽 IP 더군요.
서버 갈아 엎기전에 이 사용자가 어떤행동을 하는지 좀 알아보려는데요.
이 사용자가 키입력하는 것을 알 수 있는 방법이나 tool 이 있는지요?
패킷을 검사하는 방법으로 할 수 있을 것 같은데. tool 이 있거나 소스가 있다면
조언 부탁합니다.
서버를 오늘,내일 중으로 갈아 엎어야 겠습니다.
그럼..
Forums:
key logger 툴은 검색해보시면 찾으실 수 있구요. 콘솔에서의 키
key logger 툴은 검색해보시면 찾으실 수 있구요. 콘솔에서의 키 입력만 감시할 수 있는지, 리모트 접속에서의 입력도 되는지는 잘 모르겠네요.
원하시는 내용과는 좀 다르겠지만 프로세스 감시라면 psacct 가 있습니다. 키 입력 대신 실행된 프로세스를 기록해 줍니다.
War doesnt determine whos right, just whos left.
감사합니다. 패킷검사? 감시 용은 없는지요?
원격으로 접속 할 텐데.. 키입력 이 아닌 패킷을 검사해야 할 것 같은데.
이쪽관련은 없는지요?
답변 감사합니다.
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
별로 아는 것은 없지만 그냥 생각나서 글 올리는데요.홈디렉토리의
별로 아는 것은 없지만 그냥 생각나서 글 올리는데요.
홈디렉토리의 .bash_history를 뒤져보실 수 있지 않을까요? (해커가 bash를 쓴다면요)
rommance.net
예.. 그것은 확인해 보았습니다.
확인해 보았구요. 몇가지 해킹툴을 시도한 듯 합니다.
root 권한을 획득했는지 확인을 못 해봤구요.(이것을 확인하려고요..)
IRC (eggdrop 이 irc 맞죠?) 를 쓰는 대만(thiland) 쪽 .. 해커인것 같습니다.
악의적인 것 같지는 않지만,.. 계정의 비밀번호를 우연히 안것인지
다른 방법으로(백도어 같은..) 들어왔는지 미끼(?)를 넣고 감시를 해볼려고
합니다.
누구 아시는분 도움좀 부탁드려요..
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
패킷을 보고 싶으시다면 tcpdump를 사용해 보세요.-X 옵션을
패킷을 보고 싶으시다면 tcpdump를 사용해 보세요.
-X 옵션을 주시면 날아오고 나가는 패킷을
16진수와 ascii 모두 볼 수 있어서 편하거든요.
-s length 를 주면 패킷을 default로 잡힌 68 byte 보다
긴 패킷도 끊임없이 화면에서 볼 수 있답니다.
tcpdump -s 256 -X host 상대방IP > a.out &
이렇게 해놓으시면 상대가 어떤 일을 하는지
기록에 다 남겠죠.
답변 감사합니다.
tcpdump 를 사용해 보니 패킷을 다 볼 수 있는 것 같군요.
헉!! 그런데 좀 알아보기가 힘드네요..
21:46:28.161081 eth0 > aaaaaa.telnet > bbbbbbbbbb.
48751: P 3392:3411(19) ack 143 win 32120 <nop,nop,timestamp 1864664627 180400685
4> (DF)
21:46:28.161211 eth0 < bbbbbbbbbb.48751 > aaaaaaaaa.t
elnet: . 143:143(0) ack 3411 win 17208 <nop,nop,timestamp 1804006854 1864664627>
(DF)
이런식으로 나오네요.. 단순히 어떤 입력을 주는지 확인해볼려고 하는데.
모든 패킷을 보니 어렵군요.. ^^
여기서 키입력만 뽑을 수는 없는 것이죠??
답변 감사하구요. ^^
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
shell 로 짜야 합니다.
키 입력만 따로 볼 순 없구요.
shell로 짜셔야 합니다.
쓰신 글 중에서 P 3392:3411(19) 처럼 가로 안에
숫자가 헤더를 제외한 패킷의 길이이기 때문에 0 이 아닌
것만 긁어서 보시면 됩니다.
물론 X 옵션에 보이는 값들은 헤더도 포함입니다만.
길이가 0 인 것들은 syn, syn ack, ack, fin, fin ack 입니다.
[quote="마에노"]패킷을 보고 싶으시다면 tcpdump를 사용해 보
캐빈 미트닉이 이걸로 잡혔던가요 : -)
tcpdump 로 잡으려면 많은 인내심이 요하겠죠
Re: shell 로 짜야 합니다.
아무래도 tcpdump 는 조금 힘들겠군요.
다른 것을 찾아봐야 겠네요.
감사!!
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
[하양] sniffit 을 사용하면은 아주 간단합니다.
이 tool도 아주 강력하고 사용이 쉬운 tool이니 한 번 사용해 보세요.
<어떠한 역경에도 굴하지 않는 '하양 지훈'>
#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);
스니퍼 툴 모음...
어디서 정리해 논건지는 잘 기억이 안나는데..--a...
올려봅니다...
도움되시길...(나쁜 :evil: 용도로는 사용하지 마세요~ :P )
특히 ethereal 강추입니다~~^^..네트워크 공부할때도 유용하구요~
Tcpdump
OS : UNIX Environment
네트웍상에 오가는 모든 패킷들을 캡쳐하는 툴이다.
모든 패킷을 캡쳐하므로 password 스니퍼의 기능도 할 수 있지만 불편해서 해커들은 간단한 패스워드 스니퍼를 이용한다.
관리자들은 패킷을 조건에 맞게 캡쳐하는 법과 기록된 로그를 분석하는 법을 알아야 남겨진 로그가 의미가 있으므로 document를 필히 읽어보아야 할 것이다.
인터페이스가 매우 간결하면서 깔끔하게 되어 있어서 help기능이 없어도 쉽게 쓸 수 있다.
많은 정보를 보여주므로 캡쳐된 로그를 분석하는 일이 쉽지 않다.
다운로드 : http://www.tcpdump.org/
참고문서 : Sniffers: What are they and How to Protect From Them
참고문서 : Sniffing (network wiretap, sniffer) FAQ, Robert Graham, 2000
sniffit
OS : Linux, Unix
libpcap을 사용하여 포팅이 쉽도록 하였다.
TCP, IP, ICMP, UDP중에서 유일하게 TCP 패킷만 로그 파일로 기록이 되는데 나머지 프로토콜은 화면출력만이 가능하다.
다운로드 : http://reptile.rug.ac.be/~coder/sniffit/sniffit.html , otherplace
dsniff
OS : OpenBSD (i386), Redhat Linux (i386), and Solaris (sparc)
스위치 환경과 SSL, SSH의 사용을 무색하게 만드는 패스워드 스니퍼.
SSL과 SSH 버전 1의 패스워드를 가로챈다.
arpspoof, dnsspoof등의 유틸리티를 포함하고 있어 다양한 환경에 대응한다.
다운로드 : http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz
참고 문서
Attacks Against SSH 1 and SSL
Why Your Switched Network Isn't Secure
The End of SSL and SSH?
Ethereal
OS : Linux, Unix environment, Win 98/NT
Requirements
무료의 유닉스와 윈도우에서의 Network Protocol 분석기이다.
capture한 데이터를 파일로 보관할 수 있으며, tcpdump (libpcap), NAI's Sniffer (compressed and uncompressed), Sniffer Pro, NetXray, snoop, Shomiti, AIX's iptrace, MS Network Monitor, Novell's LanAlyzer, RADCOM's WAN/LAN Analyzer, HP-UX nettl, ISDN4BSD, Cisco Secure IDS iplog, 그리고 the pppd log (pppdump-format)와 같은 것들에서 나온 capture파일을 분석할 수 있다.
ethernet이나 FDDI, PPP, token-ring, X.25, Classical IP over ATM interfaces 의 환경에서 사용할 수 있다.
capture한 데이터는 display filter를 통해 걸러서 원하는 부분만 볼 수 있다.
다운로드 : http://www.ethereal.com/download.html
Antisniff - Sniffing Detection
solsniffer - Solaris Sniffer
linsniffer - Linux Sniffer
세상은 견고하고 삶은 유희가 아니다...
Re: [하양] sniffit 을 사용하면은 아주 간단합니다.
sniffit 이라는 것을 우선 설치해서 확인해 보았습니다.
일단 서버에 접속하는 것이 다 보이는 군요..
ssh 는 당연하지만, 알아볼 수 없구요..
telnet 은 입력한 문자 그대로 나오는 군요.
우선 미끼를 던져놓고 기다리고 있는데.. 걸려 들지 모르겠네요..
"대만" IP 를 쓰는 해커인데.. eggdrop 이라는 irc 서버 인것 같음..
채팅 하는 것도 한자 가 보이는 것으로 봐서.. 경유해서 들어오는 것 같지는
않군요.. 악성 해커도 아닌듯 합니다.
sniffit 으로 우선 행동을 관찰해 볼 까 합니다.
그럼.
ps. 이번만 눈치 못 챈다면. 또 다른 미끼로 정보를 더 알아내 봐야 겠습니다..
사용자가 바꾸어 나가자!!
= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com
댓글 달기