name Venus 
email venus99@doit.ajou.ac.kr 
homepage http://debian.sarang.net 
subject 해킹이 의심 갈때  
content 이글 어디서 가져온건데 출처를 밝히지 못해서 죄송합니다. 

<---- 시작 

1. 
# find /dev -type f 
위와 명령으로 쓸데없는 파일들(-_-)이 존재하는지 확인합니다. 
보통 /dev/MAKEDEV 등과 같이 device 를 관리하고자 하는 파일 이외의 
것이 검색되면 일단 의심해봐야 합니다. 
그리고 습성상 디렉토리명칭을 공백 한바이트(" ")나 "..." 등과 같이 dot 3개 
정도로 생성하여 쉽게 눈에 띄지 않게 하기도 하므로 이런 형태의 파일이나 
디렉토리도 찾아보시기 바랍니다. 


2. 
# grep -v "^#" /etc/inetd.conf 
위와 같은 명령으로 불필요한(또는 크래커가 추가한) 서버에 관한 설정이 
있는지 추가되어 있는지 확인합니다. 


3. 
# netstat -an | grep LISTEN 
위와 같은 명령으로 서버에 열린 포트를 확인하여 의심가는 포트가 있다면 
포트를 물고 있는 데몬을 찾아 봅니다. 


4. 
/etc/passwd 파일을 열어서 최근에 추가된 사용자나 얍샵하게 기존 사용자정보 
사이에 숨겨둔 크래커의 일반계정이 존재하는지 확인합니다. 


5. 
시스템의 부트스크립트(/etc/rc.d 경로 하단)에 백도어를 실행하는 등의 
악성코드가 존재하는지 확인합니다. 


6. 
필요할 경우 다음과 같이 find 명령의 시간옵션을 주어 최근에 변경된 
파일들을 찾아볼 수도 있겠습니다만, 크래커가 파일 수정일자까지도 
변조했다면 별로 유익한 방법이 되지 못할 수도 있습니다. 
# find / -ctime -30 -type f 


7. 
포트를 이용한 백도어 뿐만 아니라 루트쉘을 얻도록 구성된 백도어가 
구성되어 있을 수 있으므로 시스템 내의 Set User ID(SUID) 파일들을 
죄다 훑어봐서 악성코드나 악성쉘이 아닌지 확인합니다. 


8. 
rootkit 등이 설치되어 있다면 사실상 tripwire 등의 보안툴이 운영되지 않던 
서버라면 서버를 재설치하는 것이 필수에 가깝습니다. 

아마도 다음과 같이 했을때 파일이 존재하여 특정 내용이 출력된다면 
rootkit이 설치된게 거의 확실합니다. 

# cd /dev 
# cat ptyp ptyq ptyr ptys 
3 sniffer 
1 210.11.123.200 
4 6667 
ttypq 
ptyq 
ptyp 
ptys 
ptyr 


9. 
크래커가 자신과 관련된 로그를 모두 지우는게 보통입니다만, 
로그를 다 지우더라도 rootkit 에 사용되는 /dev/ptyq 등의 특수파일에서 
뜻밖에 크래커의 접속지 주소를 확보할 수도 있으며, 
백도어로 사용되는 포트가 확인되었다면 해당 포트에 쥐덫 서버 
(백도어인것 처럼 꾸며두고 크래커를 역추적하는 용도의 임의의 프로그램)를 
연결하여 크래커의 접근주소를 파악할 수도 있습니다. 


10. 
rootkit 이 설치되었을 경우 ls, du, ps, top, ifconfig 등 운영자의 손발에 
가까운 
명령어들이 이미 변조된 파일로 교체되었을 가능성이 높으므로 해당 명령에 
너무 의존하지 않아야 합니다. 
예를들어 ps 명령 대신 pstree 명령을 사용하는 등의 방법으로 백도어를 
찾아낼 수도 있을 것입니다. 


11. 
sniffer 등을 이용해 해당 서브 네트워크의 모든 서버에 접속하는 사용자의 
ID 및 암호정보가 해커의 손에 넘어갔을 수도 있습니다. 

크래커가 설치한 rootkit에 의해 ifconfig 파일까지도 변조되었을 수 
있습니다만, ifconfig 명령 결과 다음과 같이 PROMISC 모드로 나타나는 
경우 해당서버에서 스니퍼가 돌고 있다는 증거입니다. 
inet addr:210.111.22.33 Bcast:210.111.22.255 Mask:255.255.255.0 
UP BROADCAST RUNNING PROMISC MULTICAST 

ifconfig 파일이 변조되었다면 ifstatus 라는 도구를 인터넷상에서 구해 
확인해볼 수도 있습니다. 
# ./ifstatus 
WARNING: WAY.CO.KR INTERFACE eth0 IS IN PROMISCUOUS MODE. 

이 같이 스니퍼가 돌고 있거나 같은 서브 네트워크 내의 다른 서버에서 
스니퍼가 돌고 있다면 모든 서브 네트워크내의 서버가 연쇄적으로 
뚤렸거나 뚤릴 가능성이 높습니다. 
따라서 이 같은 경우 서버 한대만을 기준으로 복구 또는 대응을 
고민하실 것이 아니라 광범위하게 보안문제에 대해 고민하셔야 할것입니다. 


몇가지 더 쓰고 싶은게 있습니다만 밤이 너무 깊었군요. -_- 

얼마전에 있었던 쥐새끼(브라질, 이탈리아, 미국 크래커) 추적작전(-_-)의 
성공적인 마무리와, 어제 뜻하지 않게 해커즈랩(http://www.hackerslab.org) 
"명예의 전당"에 등극(레벨13)하게 된것을 기념하여 몇자 적어보았습니다. :) 

부디 미약한 정보나마 참고가 되시길 빕니다. 

---- 끝 > 

위험한 상황일때 한번쯤 체크 해보시길....