반응형
/*
* http://sosal.tistory.com/
* made by so_Sal
*/
관리중인 solaris 시스템이 어느날 해킹을 당하여 외부 침입자가 불법침입을 하였다.
다행히 외부침입자의 침입경로를 파악하여 제거하였으나, 불법침입을 한 상태에서
행한 불법작업내역은 아직 확인하지 못하였다.
특히 이 침입자는 이 시스템을 경유지로 하여 타 시스템에 대하여
지속적인 스캐닝 또는 서비스거부공격을 하고 있을 가능성이 매우 높다.
solaris 시스템을 평소 관리했던 상식에 비추어서 시스템내에서 의심스럽게 보이는
프로세스를 찾아서 강제종료 시키시오.
---
단순히 프로세스 목록을 찾아, 강제종료만 하면 되는 문제입니다.
의심스럽게 보이는 프로세스를 찾기 위해선, 일단 프로세스 목록을 보는 방법을 알아야합니다.
보통 프로세스 목록은
ps -elf
ps aux
pstree -p
명령어들을 사용합니다.
아래는 'ps -el' 의 결과.
(문제의 서버에서는 pstree 명령어가 없네요.)
그렇다면, ps -elf 명령어를 써봅시다.
화면이 스크롤이 안되는 관계로, 명령어의 결과를 파일로 저장하여
vi 편집기에서 자세하게 들여다 봐야겠습니다.
ps -elf > ./ps
vi ./ps
가장 크게 의심되는게 -exshell 과, (httpd) 가 있네요.
kill 명령어를 이용하여 프로세스를 죽인 후, finish.
ex) kill 21771
실제로 죽여보면 (httpd)가 답인것을 확인할 수 있습니다.
과연 httpd는 어떤 프로그램이었을까요?
which 명령어를 통해 httpd의 위치를 찾아봅시다.
^^; 별것 없네요~ 쉬운 문제였습니다.
* http://sosal.tistory.com/
* made by so_Sal
*/
관리중인 solaris 시스템이 어느날 해킹을 당하여 외부 침입자가 불법침입을 하였다.
다행히 외부침입자의 침입경로를 파악하여 제거하였으나, 불법침입을 한 상태에서
행한 불법작업내역은 아직 확인하지 못하였다.
특히 이 침입자는 이 시스템을 경유지로 하여 타 시스템에 대하여
지속적인 스캐닝 또는 서비스거부공격을 하고 있을 가능성이 매우 높다.
solaris 시스템을 평소 관리했던 상식에 비추어서 시스템내에서 의심스럽게 보이는
프로세스를 찾아서 강제종료 시키시오.
---
단순히 프로세스 목록을 찾아, 강제종료만 하면 되는 문제입니다.
의심스럽게 보이는 프로세스를 찾기 위해선, 일단 프로세스 목록을 보는 방법을 알아야합니다.
보통 프로세스 목록은
ps -elf
ps aux
pstree -p
명령어들을 사용합니다.
아래는 'ps -el' 의 결과.
(문제의 서버에서는 pstree 명령어가 없네요.)
그렇다면, ps -elf 명령어를 써봅시다.
화면이 스크롤이 안되는 관계로, 명령어의 결과를 파일로 저장하여
vi 편집기에서 자세하게 들여다 봐야겠습니다.
ps -elf > ./ps
vi ./ps
가장 크게 의심되는게 -exshell 과, (httpd) 가 있네요.
kill 명령어를 이용하여 프로세스를 죽인 후, finish.
ex) kill 21771
실제로 죽여보면 (httpd)가 답인것을 확인할 수 있습니다.
과연 httpd는 어떤 프로그램이었을까요?
which 명령어를 통해 httpd의 위치를 찾아봅시다.
^^; 별것 없네요~ 쉬운 문제였습니다.
'Major Study. > System hacking' 카테고리의 다른 글
| 시스템 보안 06.네크웍서비스 데몬 설정 변경 문제 (0) | 2010.11.22 |
|---|---|
| 시스템 보안 05.네크웍서비스 데몬 설정 변경 문제 (0) | 2010.11.22 |
| 시스템 보안 03.쉘 환경변수 변경 문제 (0) | 2010.11.22 |
| 쉘코드 주소값, ret값 위치, .dtors 위치 찾기 (0) | 2010.07.04 |
| Linux :: RTL 맛보기 (0) | 2010.07.03 |