큰일 났습니다.
오늘 아침에 리눅스컴을 보니 이런 현상이 있습니다.
부팅시 sendmail 항목에서 멈춰서 진행이 안되어, Ctrl+D 를 눌러 넘어갔습니
다.
기존에 ntsysv 에서 sendmail 항목은 사용하지 않았는데, 갑자기 자동실행 하
려고 하는데요.
일단 넘어가고 보니 로그인 화면 뜨죠? (텍스트모드)
여기에 무슨 글자들이 있는데, 깨져서 나옵니다.
--------------------------------------------------------
localhost login
밑에, 아래와 같은 메지시가 계속 반복됩니다.
gdm-config-parse Authdir /var/gdm does not exits. Aborting
gdm-config-parse Authdir /var/gdm does not exits. Aborting
gdm-config-parse Authdir /var/gdm does not exits. Aborting
gdm-config-parse Authdir /var/gdm does not exits. Aborting
gdm-config-parse Authdir /var/gdm does not exits. Aborting
이러면서 지 혼자 계속 돌아가거든요?
중간에 엔터를 치면 localhost login 이 나오길래 root 로그인하니 로그인
인 됩니다.
로그인이 되어도 중간에 위 메시지가 계속 뜨고 있습니다.
/var/gdm 을 보니 안에 아무것도 없고, 그룹과 실행퍼미션이 둘다 gdm 으로 되
어 있구요.
ntsysv 실행하니 체크하지 않았던 것들이 죄다 체크되어 있었구요.
그래서, 다시 다 뺐습니다.
부팅시 아래 메시지가 또 있습니다.
ired file '/etc/pritcap -퍼미션이 안 맞는다고 나옵니다.
starting at daemon -찾을수 없다고 나옵니다.
Mounting local filesystem fs type not supported by kernel [FAILED]
오늘 아침부터 갑자기 생긴 일들입니다.
뭐가 잘못된거지요?
Re: 큰일 났습니다.
자세한건 모르겠지만 건들지 않은 시스템이 이상해졌다면... --;
일단 /var/log/message라는 파일을 유심히 보시기 바랍니다.
혹시 외부에서 침입을 했다면(장난으로...) 이 파일에 로그가 남습니다.
물론 조금아는 해커라면 여기서 자신의 흔적을 지우겠지만...
gdm이라는 것이 생겼다면 /etc/passwd에서 찾아보시고 500(UID)이상의 숫자를
가지는지를 확인해보십시요. 또한 /etc/group에서도 500(GID)이상의 숫자인지
확인해보십시요. 만일 gdm(일부 서비스 일수도 있지만...)이 500이상의 숫자를
가진다면 공격당한걸로 생각하시고 보안에 필요한 조치를 취하시는 것이 좋습
니다.
물론 gdm이라는 USER와 GROUP을 삭제하시고...
root패스워드도 바꾸는 것이 좋습니다. 최근의 버그 패치도 하시는 것이 좋고
요.
댓글 달기