주로 사용되는 백도어들의 디렉토리
/dev/cub , /dev/cuc , /dev/ptyr , /dev/ptyp , /dev/ptyq , /dev/ptyxx
/usr/src/.puta
ls, ps, login , netstat 등의 변조 유무 확인 ( 프로그램 콜
확인)
truss -t open [명령어] : truss -t open ls 주로 유닉스에서
strace -e trace=open [명령어] 주로 리눅스에서
SUID , SGID 설정된 화일 찾기
find / -type f -perm -04000 -ls #SUID 찾기
find / -type f -perm -02000 -ls #SGID 찾기
nmap 등을 이용하여 열려진 포트를 확인할 것.
nmap -sT -p 1-65535 xxx.xxx.xxx.xxx
Crontab 확인
/var/spool/cron/crontabs/root 화일내용 확인
무결성 검사
솔리리스 : http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7
md5 프로그램 이용
Redhat : rpm -V -a : 모든 패키지 검사
rpm -V 패키지 명 : 특정 패키지 검사
fileutils, util-linux, passwd, procps, net-tools
변조된 ps, netstat 대신 사용할 수 있는 "lsof" 이용
ftp://vic.cc.purdue.edu/pub/tools/unix/lsof
ftp://ftp.sunet.se/pub/unix/admin/lsof
화일의 시간변경 확인
find / -mtime -10 -ls : 현재부터 10일전으로 변경된 화일 찾기
find / -ctime -10 -ls : 현재부터 10일전으로 inode 시간이 변경된 화일 찾기
MAC time 분석
tct 같은 MAC time 분석 도구를 이용한다
MAC time 은 find 만 돌려도 변경되는 정보이므로 피해를 입은 것이
분명한 상황이라면 시스템에서 다른 명령을 실행하지 말고 먼저 MAC
time 정보부터 확보해 놓고 분석에 들어가는 것이 좋다.
strings를 이용한 해킹프로그램 내부 분석
strings [프로그램 명] : 프로그램 내의 문자string을 뽑아내줌
현재 실행중인 프로세스의 시스템콜 추적
truss -f -p PID : -f 자식프로세스 추적 -p 실행중인 프로세스 추적
truss -f -p PID >&1 |egrep "read|recv|write"
출력결과 중에서 "read|recv|write"가 들어간 부분 검색
truss -rall -wall -f -o log -p PID
출력결과를 log라는 화일로 저장
* itislord님에 의해서 게시물 복사되었습니다 (2005-04-24 14:18)
/dev/cub , /dev/cuc , /dev/ptyr , /dev/ptyp , /dev/ptyq , /dev/ptyxx
/usr/src/.puta
ls, ps, login , netstat 등의 변조 유무 확인 ( 프로그램 콜
확인)
truss -t open [명령어] : truss -t open ls 주로 유닉스에서
strace -e trace=open [명령어] 주로 리눅스에서
SUID , SGID 설정된 화일 찾기
find / -type f -perm -04000 -ls #SUID 찾기
find / -type f -perm -02000 -ls #SGID 찾기
nmap 등을 이용하여 열려진 포트를 확인할 것.
nmap -sT -p 1-65535 xxx.xxx.xxx.xxx
Crontab 확인
/var/spool/cron/crontabs/root 화일내용 확인
무결성 검사
솔리리스 : http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7
md5 프로그램 이용
Redhat : rpm -V -a : 모든 패키지 검사
rpm -V 패키지 명 : 특정 패키지 검사
fileutils, util-linux, passwd, procps, net-tools
변조된 ps, netstat 대신 사용할 수 있는 "lsof" 이용
ftp://vic.cc.purdue.edu/pub/tools/unix/lsof
ftp://ftp.sunet.se/pub/unix/admin/lsof
화일의 시간변경 확인
find / -mtime -10 -ls : 현재부터 10일전으로 변경된 화일 찾기
find / -ctime -10 -ls : 현재부터 10일전으로 inode 시간이 변경된 화일 찾기
MAC time 분석
tct 같은 MAC time 분석 도구를 이용한다
MAC time 은 find 만 돌려도 변경되는 정보이므로 피해를 입은 것이
분명한 상황이라면 시스템에서 다른 명령을 실행하지 말고 먼저 MAC
time 정보부터 확보해 놓고 분석에 들어가는 것이 좋다.
strings를 이용한 해킹프로그램 내부 분석
strings [프로그램 명] : 프로그램 내의 문자string을 뽑아내줌
현재 실행중인 프로세스의 시스템콜 추적
truss -f -p PID : -f 자식프로세스 추적 -p 실행중인 프로세스 추적
truss -f -p PID >&1 |egrep "read|recv|write"
출력결과 중에서 "read|recv|write"가 들어간 부분 검색
truss -rall -wall -f -o log -p PID
출력결과를 log라는 화일로 저장
* itislord님에 의해서 게시물 복사되었습니다 (2005-04-24 14:18)
'프로그래밍Tips' 카테고리의 다른 글
| FTP전송후 생기는 문장 끝의 ^M 제거 (0) | 2003.05.07 |
|---|---|
| ufsdump, dd, tar 사용한 백업 (0) | 2003.05.06 |
| Apache 서버에서 가상서버 사용하기 (1) | 2003.05.06 |