주로 사용되는 백도어들의 디렉토리

   /dev/cub , /dev/cuc , /dev/ptyr , /dev/ptyp , /dev/ptyq , /dev/ptyxx
   /usr/src/.puta

ls, ps, login , netstat 등의 변조 유무 확인 ( 프로그램 콜
확인)

   truss  -t  open  [명령어]     :   truss -t open ls    주로 유닉스에서

   strace  -e  trace=open [명령어]    주로 리눅스에서


SUID , SGID 설정된 화일 찾기

   find  /  -type  f  -perm  -04000  -ls    #SUID 찾기
   find  /  -type  f  -perm  -02000  -ls    #SGID 찾기


nmap 등을 이용하여 열려진 포트를 확인할 것.
  
   nmap  -sT  -p  1-65535  xxx.xxx.xxx.xxx


Crontab 확인

   /var/spool/cron/crontabs/root  화일내용 확인


무결성 검사

  솔리리스  : http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7
              md5 프로그램 이용
  Redhat    : rpm  -V  -a             :   모든 패키지 검사
              rpm  -V  패키지 명      :   특정 패키지 검사
                       fileutils, util-linux, passwd, procps, net-tools


변조된 ps, netstat 대신 사용할 수 있는 "lsof" 이용

   ftp://vic.cc.purdue.edu/pub/tools/unix/lsof
   ftp://ftp.sunet.se/pub/unix/admin/lsof



화일의 시간변경 확인

   find  /  -mtime  -10  -ls   :  현재부터 10일전으로 변경된 화일 찾기
   find  /  -ctime  -10  -ls   :  현재부터 10일전으로 inode 시간이 변경된 화일 찾기


MAC time 분석

   tct 같은 MAC time 분석 도구를 이용한다
   MAC time 은 find 만 돌려도 변경되는 정보이므로 피해를 입은 것이
   분명한 상황이라면 시스템에서 다른 명령을 실행하지 말고 먼저 MAC
   time 정보부터 확보해 놓고 분석에 들어가는 것이 좋다.


strings를 이용한 해킹프로그램 내부 분석

   strings [프로그램 명] : 프로그램 내의 문자string을 뽑아내줌            


현재 실행중인 프로세스의 시스템콜 추적

   truss  -f  -p  PID   :  -f 자식프로세스 추적  -p 실행중인 프로세스 추적
   truss  -f  -p  PID >&1 |egrep "read|recv|write"
                  출력결과 중에서 "read|recv|write"가 들어간 부분 검색
   truss  -rall  -wall  -f  -o log  -p  PID
                  출력결과를 log라는 화일로 저장

* itislord님에 의해서 게시물 복사되었습니다 (2005-04-24 14:18)
Apache가 설치된 디렉토리에서

< conf/httpd.conf > 편집
::::
::::
#
#ServerName cyber.chch.ac.kr    <-- 중간 쯤에서 서버네임 설정을 막을 것
::::
::::
::::      

# If you want to use name-based virtual hosts you need to define at
# least one IP address (and port number) for them.
#
NameVirtualHost  *:80               // IP 지정을 해서 사용해도 됨 203.232.xxx.xxx         <--- 그 서버의 IP번호


#              마지막 부분에 다음을 설정

<VirtualHost cyber.chch.ac.kr>            <--  맨먼저 그 서버자체에 대한 설정을 한다.
  ServerAdmin webmaster@cyber.chch.ac.kr    
  DocumentRoot /usr/local/apache/htdocs
  ServerName cyber.chch.ac.kr
  ErrorLog /usr/local/apache/logs/error_log
  CustomLog /usr/local/apache/logs/access_log combined
</VirtualHost>  

<VirtualHost mdc.chch.ac.kr>              <--- 가상 서버를 설정한다. 다른 가상서버도 이와 같은 방식으로 한다.
  ServerAdmin webmaster@mdc.chch.ac.kr
  DocumentRoot /user1/home/mdc/public_html
  ServerName mdc.chch.ac.kr
  ErrorLog /user1/home/mdc/public_html/error_log
  CustomLog /user1/home/mdc/public_html/access_log combined
</VirtualHost>

<VirtualHost _default_:*>                  <-- 맨 끝에 Default 가상서버를 설정한다
  ServerAdmin webmaster@cyber.chch.ac.kr
  DocumentRoot /usr/local/apache/htdocs
  ServerName cyber.chch.ac.kr
  ErrorLog /usr/local/apache/logs/error_log
  CustomLog /usr/local/apache/logs/access_log combined
</VirtualHost>                          
* itislord님에 의해서 게시물 복사되었습니다 (2005-04-24 14:18)
  1. Favicon of https://itislord.tistory.com BlogIcon itislord 2009.02.27 10:10 신고

    아파치의 virtualhost 상황을 쉽게 볼 수 있는 옵션입니다. <br />
    루트에서 <br />
    httpd -S <br />
    라고 입력하시면 됩니다. <br />
    직접 해보세요.

+ Recent posts