주로 사용되는 백도어들의 디렉토리

   /dev/cub , /dev/cuc , /dev/ptyr , /dev/ptyp , /dev/ptyq , /dev/ptyxx
   /usr/src/.puta

ls, ps, login , netstat 등의 변조 유무 확인 ( 프로그램 콜
확인)

   truss  -t  open  [명령어]     :   truss -t open ls    주로 유닉스에서

   strace  -e  trace=open [명령어]    주로 리눅스에서


SUID , SGID 설정된 화일 찾기

   find  /  -type  f  -perm  -04000  -ls    #SUID 찾기
   find  /  -type  f  -perm  -02000  -ls    #SGID 찾기


nmap 등을 이용하여 열려진 포트를 확인할 것.
  
   nmap  -sT  -p  1-65535  xxx.xxx.xxx.xxx


Crontab 확인

   /var/spool/cron/crontabs/root  화일내용 확인


무결성 검사

  솔리리스  : http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7
              md5 프로그램 이용
  Redhat    : rpm  -V  -a             :   모든 패키지 검사
              rpm  -V  패키지 명      :   특정 패키지 검사
                       fileutils, util-linux, passwd, procps, net-tools


변조된 ps, netstat 대신 사용할 수 있는 "lsof" 이용

   ftp://vic.cc.purdue.edu/pub/tools/unix/lsof
   ftp://ftp.sunet.se/pub/unix/admin/lsof



화일의 시간변경 확인

   find  /  -mtime  -10  -ls   :  현재부터 10일전으로 변경된 화일 찾기
   find  /  -ctime  -10  -ls   :  현재부터 10일전으로 inode 시간이 변경된 화일 찾기


MAC time 분석

   tct 같은 MAC time 분석 도구를 이용한다
   MAC time 은 find 만 돌려도 변경되는 정보이므로 피해를 입은 것이
   분명한 상황이라면 시스템에서 다른 명령을 실행하지 말고 먼저 MAC
   time 정보부터 확보해 놓고 분석에 들어가는 것이 좋다.


strings를 이용한 해킹프로그램 내부 분석

   strings [프로그램 명] : 프로그램 내의 문자string을 뽑아내줌            


현재 실행중인 프로세스의 시스템콜 추적

   truss  -f  -p  PID   :  -f 자식프로세스 추적  -p 실행중인 프로세스 추적
   truss  -f  -p  PID >&1 |egrep "read|recv|write"
                  출력결과 중에서 "read|recv|write"가 들어간 부분 검색
   truss  -rall  -wall  -f  -o log  -p  PID
                  출력결과를 log라는 화일로 저장

* itislord님에 의해서 게시물 복사되었습니다 (2005-04-24 14:18)

+ Recent posts