/*
 http://sosal.tistory.com/
 * made by so_Sal
 */

관리중인 solaris 시스템이 어느날 해킹을 당하여 외부 침입자가 불법침입을 하였다.
다행히 외부침입자의 침입경로를 파악하여 제거하였으나, 불법침입을 한 상태에서
행한 불법작업내역은 아직 확인하지 못하였다.
특히 이 침입자는 이 시스템을 경유지로 하여 타 시스템에 대하여
지속적인 스캐닝 또는 서비스거부공격을 하고 있을 가능성이 매우 높다.
solaris 시스템을 평소 관리했던 상식에 비추어서 시스템내에서 의심스럽게 보이는
프로세스를 찾아서 강제종료 시키시오.

---

단순히 프로세스 목록을 찾아, 강제종료만 하면 되는 문제입니다.

의심스럽게 보이는 프로세스를 찾기 위해선, 일단 프로세스 목록을 보는 방법을 알아야합니다.
보통 프로세스 목록은
ps -elf
ps aux
pstree -p
명령어들을 사용합니다.

아래는 'ps -el' 의 결과.



(문제의 서버에서는 pstree 명령어가 없네요.)
그렇다면, ps -elf 명령어를 써봅시다.
화면이 스크롤이 안되는 관계로, 명령어의 결과를 파일로 저장하여
vi 편집기에서 자세하게 들여다 봐야겠습니다.

ps -elf > ./ps
vi ./ps



가장 크게 의심되는게 -exshell 과, (httpd) 가 있네요.
kill 명령어를 이용하여 프로세스를 죽인 후, finish.
ex) kill 21771


실제로 죽여보면 (httpd)가 답인것을 확인할 수 있습니다.
과연 httpd는 어떤 프로그램이었을까요?

which 명령어를 통해 httpd의 위치를 찾아봅시다.



^^; 별것 없네요~ 쉬운 문제였습니다.
Posted by sosal sosal

댓글을 달아 주세요