서버가 해킹을 당한 것 같은데...
해커가 어떤 일을 하고 갔는 지 알려면...
어떤 로그 파일을 확인 해야 하나여....
특별히 정답은 없습니다. 그냥 볼수 있는로는 다보시는수밖에요..
----------------------------------------------------------------------------
대부분다 들여다 볼수 밖에 없는데요.
몇가지만 말씀드리면.. 1. tripwire 같은걸로 무결성검사를 하셔야하는데.. 이걸 설치 안하셨다면, find 로 최근에 변경된 파일을 찾아보시구요.(중요바이너리파일인지..)
2. /var/log 안에 있는 로그파일들이 무사하면 그걸 점검해보세요, 로그중에 공격로그만 추출해서 살펴보시 고 점검하시면되겠군요. (공격당하면 대부분 이걸 지워 버리니까. rm 명령어로 지운거라면 복구할수도 있습니다. 포렌식툴킷으로.. )
( 전제, 아래 바이너리들이 조작되지 않아야함 )
3. ps -aux 나 pstree 나 top 을 해서 떠있는 프로세스 를 점검하세요. 안보이던 프로세스나, 알던 프로세스 의 사용자권한같은게 바껴 있는지도 보세요.
4. netstat -na 하셔서 네트워크 포트가 열린게 특별난게 있나 보시구요.
5. /etc/passwd 와 /etc/shadow 같은 주요 설정 파일들이 변경된것이 있나 확인하세요.
6. 대부분의 경우는 일반계정으로 먼저 침투하여 쉘상에서 로컬 공격을 하니까, 일반 계정의 비밀번호가 단순한 비밀번호로 설정되어 있는지, 변경되었는지 사용자의 도움을 얻어서 확인하시구요. 자기 로컬 서버라면 변경하시구요.
7. 백도어 점검툴같은걸 돌려봄도 좋지요.
...
여기서 중요한건, 리부팅하시기 전에, 꼼꼼히 좀 살펴 보시라는거구요. 함부로 데이타를 건드리시면 안됩니다.
꼭, 데이타를 점검하여 보실때는 로그파일이나 등등..
임시디렉토리로 복사하신후, 사본으로 점검하세요. (for 무결성 손실방지)
힘내세요.
당황하지 마시고... 랜선 뽑으세요...
실제적으로 필요한 파일들만 백업을 받으시고... 미세요.
만약 들어온 루트와 놈을 알고 싶다면... 전체 파일을 다른 곳에 백업을 하신후에... /var/log 부분을 뒤져 보세요.
근데... 좀 머리가 깨어 있거나 프렉문서를 본 사람 이라면... 흔적을 남겼을리 만무 할듯... 사이버 수사대에 연락하셔서 도움을 받는 쪽으로 생각을 하시는게 편할듯합니다.
여하튼 화이팅입니다!
<어떠한 역경에도 굴하지 않는 '하양 지훈'>
#include <com.h> <C2H5OH.h> <woman.h> do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);
지워진것이 없다면 백도워 제거하고 패키지들 업데이트 해주고 .. 커널 올려주며 됩니다 setuid 는 기본적으로 세개정도만 있으면 됩니다. su , sendmail , passwd (센드메일도 요즘은 좀 변경이 되서 안전할것 같더군요.
ps, ls 등 변조 되었을 가능성이 높습니다. ps 하고 pstree 결과값이 틀리면 변조 되었을겁니다.
로그파일 뒤저봤자 별반 다를것이 없다고 사료되네요.. 지웠겠죠.....
아마 백도워 띄워 놓고 갔을겁니다. 또는 다음 목표나 목적을 위해 다른 데몬도 한두개 정도..
데몬들을 확인했을때 삭제나 죽이지 마시고 /proc/*** 들어가서 확인해보시구요.
strace 로 무슨일 하는지도 좀 확인하시고 가지고 놀기 좋을것입니다.
넘.. 두리뭉실하게 글 올린것 같네요... 저도 해킹 100번 이상 당해봐서.. 애지간한건 다 아는 지라.... 해킹도 많이 당해봐야..... 정도의 심각성을 판단할 수 있습니다.
지워지지 않았다면 별일 아닐듯 사료됩니다.
저도 예전에 당해봐서 아는데요. 제일 좋은 방법은 위의분이 말씀 하셨다 시피
1. 랜선을 뽑는다. 2. 필요한 자료를 백업한다. 3. 리눅스를 최신판으로 새로 설치한다. 4. 모든 package를 upgrade한다. 5. 백업받은거 리스토아 한다.
void main() { printf("Hello World\n"); exit(0); } /* 초심으로 돌아가자~~~~~ */
텍스트 포맷에 대한 자세한 정보
<code>
<blockcode>
<apache>
<applescript>
<autoconf>
<awk>
<bash>
<c>
<cpp>
<css>
<diff>
<drupal5>
<drupal6>
<gdb>
<html>
<html5>
<java>
<javascript>
<ldif>
<lua>
<make>
<mysql>
<perl>
<perl6>
<php>
<pgsql>
<proftpd>
<python>
<reg>
<spec>
<ruby>
<foo>
[foo]
특별히 정답은 없습니다.그냥 볼수 있는로는 다보시는수밖에요..
특별히 정답은 없습니다.
그냥 볼수 있는로는 다보시는수밖에요..
----------------------------------------------------------------------------
대부분다 들여다 볼수 밖에 없는데요.몇가지만 말씀드리면..1.
대부분다 들여다 볼수 밖에 없는데요.
몇가지만 말씀드리면..
1. tripwire 같은걸로 무결성검사를 하셔야하는데..
이걸 설치 안하셨다면, find 로 최근에 변경된 파일을
찾아보시구요.(중요바이너리파일인지..)
2. /var/log 안에 있는 로그파일들이 무사하면 그걸
점검해보세요, 로그중에 공격로그만 추출해서 살펴보시
고 점검하시면되겠군요. (공격당하면 대부분 이걸 지워
버리니까. rm 명령어로 지운거라면 복구할수도 있습니다. 포렌식툴킷으로.. )
( 전제, 아래 바이너리들이 조작되지 않아야함 )
3. ps -aux 나 pstree 나 top 을 해서 떠있는 프로세스 를 점검하세요. 안보이던 프로세스나, 알던 프로세스
의 사용자권한같은게 바껴 있는지도 보세요.
4. netstat -na 하셔서 네트워크 포트가 열린게 특별난게 있나 보시구요.
5. /etc/passwd 와 /etc/shadow 같은 주요 설정 파일들이 변경된것이 있나 확인하세요.
6. 대부분의 경우는 일반계정으로 먼저 침투하여 쉘상에서 로컬 공격을 하니까, 일반 계정의 비밀번호가 단순한 비밀번호로 설정되어 있는지, 변경되었는지 사용자의 도움을 얻어서 확인하시구요. 자기 로컬 서버라면 변경하시구요.
7. 백도어 점검툴같은걸 돌려봄도 좋지요.
...
여기서 중요한건, 리부팅하시기 전에, 꼼꼼히 좀 살펴
보시라는거구요. 함부로 데이타를 건드리시면 안됩니다.
꼭, 데이타를 점검하여 보실때는 로그파일이나 등등..
임시디렉토리로 복사하신후, 사본으로 점검하세요.
(for 무결성 손실방지)
...
힘내세요.
당황하지 마시고...랜선 뽑으세요...실제적으로 필요한 파일들
당황하지 마시고...
랜선 뽑으세요...
실제적으로 필요한 파일들만 백업을 받으시고... 미세요.
만약 들어온 루트와 놈을 알고 싶다면...
전체 파일을 다른 곳에 백업을 하신후에...
/var/log 부분을 뒤져 보세요.
근데... 좀 머리가 깨어 있거나 프렉문서를 본 사람 이라면...
흔적을 남겼을리 만무 할듯...
사이버 수사대에 연락하셔서 도움을 받는 쪽으로 생각을 하시는게 편할듯합니다.
여하튼 화이팅입니다!
<어떠한 역경에도 굴하지 않는 '하양 지훈'>
#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);
지워진것이 없다면 백도워 제거하고 패키지들 업데이트 해주고 .. 커널 올
지워진것이 없다면 백도워 제거하고 패키지들 업데이트 해주고 .. 커널 올려주며 됩니다
setuid 는 기본적으로 세개정도만 있으면 됩니다.
su , sendmail , passwd (센드메일도 요즘은 좀 변경이 되서 안전할것 같더군요.
ps, ls 등 변조 되었을 가능성이 높습니다. ps 하고 pstree 결과값이 틀리면 변조 되었을겁니다.
로그파일 뒤저봤자 별반 다를것이 없다고 사료되네요.. 지웠겠죠.....
아마 백도워 띄워 놓고 갔을겁니다. 또는 다음 목표나 목적을 위해 다른 데몬도 한두개 정도..
데몬들을 확인했을때 삭제나 죽이지 마시고 /proc/*** 들어가서 확인해보시구요.
strace 로 무슨일 하는지도 좀 확인하시고 가지고 놀기 좋을것입니다.
넘.. 두리뭉실하게 글 올린것 같네요... 저도 해킹 100번 이상 당해봐서.. 애지간한건 다 아는 지라.... 해킹도 많이 당해봐야..... 정도의 심각성을 판단할 수 있습니다.
지워지지 않았다면 별일 아닐듯 사료됩니다.
저도 예전에 당해봐서 아는데요.제일 좋은 방법은 위의분이 말씀 하셨다
저도 예전에 당해봐서 아는데요.
제일 좋은 방법은 위의분이 말씀 하셨다 시피
1. 랜선을 뽑는다.
2. 필요한 자료를 백업한다.
3. 리눅스를 최신판으로 새로 설치한다.
4. 모든 package를 upgrade한다.
5. 백업받은거 리스토아 한다.
void main()
{
printf("Hello World\n");
exit(0);
}
/* 초심으로 돌아가자~~~~~ */
댓글 달기