다시 한번 부탁합니다.
와우 7.0 까치 입니다. /etc/passwd 파일입니다.
-----------------------------------------------------
rootx00root/root/bin/bash
binx11bin/bin
daemonx22daemon/sbin
admx34adm/var/adm
lpx47lp/var/spool/lpd
syncx50sync/sbin/bin/sync
shutdownx60shutdown/sbin/sbin/shutdown
haltx70halt/sbin/sbin/halt
mailx812mail/var/spool/mail
newsx913news/var/spool/news
uucpx1014uucp/var/spool/uucp
operatorx110operator/root
gamesx12100games/usr/games
gopherx1330gopher/usr/lib/gopher-data
ftpx1450FTP User/var/ftp
nobodyx9999Nobody/
apachex4848Apache/var/www/bin/false
xfsx4343X Font Server/etc/X11/fs/bin/false
gdmx4242/home/gdm/bin/bash
rpcuserx2929RPC Service User/var/lib/nfs/bin/false
rpcx3232Portmapper RPC user//bin/false
mailnullx4747/var/spool/mqueue/dev/null
svterx500501/usr/local/apache/bin/bash
stux501502/home/stu/bin/bash
plipx502503/home/plip/bin/bash
-----------------------------------------------------------
이 중에 마지막에 있는 svter 와 stu, plip 는 제가 아닌 겁니다.
gdmx4242/home/gdm/bin/bash
부분은 제가 모르는 사용자인데요.
/home/에 들어가보니 디렉토리는 없습니다.
그리고, /var/log 라는 디렉토리가 없습니다.
전에부터 찾을려고 했는데, log 파일들이 어디있는지 모르겠습니다.
아는 위치는 아파치 로그위치 밖에 없습니다.(컴파일 설치)
/usr/local/apache/logs/
이게 만약 침입이라면 뭘로 들어온거죠?
텔넷은 TCP Wraper 사용하고요. 제 컴의 아이피만 허용됩니다.
FTP 는 proftp 를 xinetd 로 돌리고요. 이건 익명로그인 안됩니다.
다시 한번만 위의 내용을 점검 좀 부탁드께요..
Re: 다시 한번 부탁합니다.
설치를 본인이 직접하셨는데 svter라는 계정을 모른다면 해킹의 가능성이
높습니다. 거기에다가 UID가 500이라면 최초 계정이라는 소리인데... --;
gdm은 Gnome Display Manager라는 놈이라고 나오네요.(회사에는 X가 없어서. -
-;)
즉, 초기에 X화면으로 로그인을 하는데 사용하는 놈인데...
일단 의심이가는건
svterx500501/usr/local/apache/bin/bash
이부분입니다. 즉, 사용자 계정을 /home으로 해놓지 않고 /usr/local/apache에
놓인점으로 봐서는 아파치의 버그를 이용한 침입을 의심해보지 않을 수가 없
네요. 좀더 자세한 사항은 집에서 문서좀 뒤져봐야 하겠지만...
일단 svter라는 계정을 없애 놓는게 좋을 것 같네요.
그리고 /var/log가 없다고 하셨는데... --;
다시 생성을 시켜보시는게 좋겠네요.
그리고 아파치는 최신버젼을 받아서 설치(Upgrade)하시는게 좋을 것 같고요.
도움을 드리지 못해서 죄송하네요.
댓글 달기