LINUX 해킹당했을 때 대처요령

1. 해커가 침투했다면 부팅관련 init를 변경했을 위험이 있다.     만약 변경되었다면 부팅이 되지 않는다. /etc/rc.d 에 보면 init가 있다. 서버 전원넣으면 바이오스에서 하드웨어 감지하고, 마스터 하드로 점핑해주죠. 마스터 하드(부팅관련)점핑되면 lilo에서 해당 커널을 올려줘요 그러면 해당 커널로 로딩되면서 /etc/init.d/에 있는 런레벨 스크립트를 실행하죠 만약 init가 엉망이면 부팅 실패되면 컴퓨터 멈춰버리죠 이럴 경우는 복원모드로 들어가서 작업해줘야 되죠                 복원모드는 linux rescue ** 참고 파티션 구성하는 부분에서 중요데이터가 있는 파티션을 제외한 나머지는 새로 잡아줘서 재설치해주면 되요. 그래서 리눅스 셋팅시 파티션 계획이 아주 중요하죠.(이것도 내공은 약하지만 정리해서 공개할께요) /database, /log, /home 등은 독립파티션으로~ 위의 중요파티션을 제외하고 나머지는 새로 파티션 잡고 설치한 후 취약한 부분 패치해주고 이런식이죠 2. 변경되어있는 명령어 있나 확인 lsattr /bin/* | more 해서 변경되어있는 명령어 있나 확인 lsattr /sbin/* | more 만약에 변경되어 있다면, rpm -qf 변경된명령어  하면 변경된명령어가 포함된 패키지명이 나온다 이것을 강제로 재설치해주면 되는데, 이것이 해킹당한 명령어 복원해주는 기술이다. 예를들어서 /bin/su 명령어가 변경되었을 경우, [root@ecweb-7 tmp]# rpm -qf /bin/su 해보면 coreutils-4.5.3-19.0.2  패키지명이 출력되죠 이것을 재설치해주면 된다. 참고사이트 http://www.blocus-zone.com/modules/news/print.php?storyid=639 3. 백도어 찾기 find /dev -type f 해서 MAKEDEV 요것만 나오면 정상이고, 다른거 나오면 100% 백도어임 4. 프로세서 검색 netstat -tnapu |grep LISTEN 해서 이상한 프로세서 띄워져 있으면, 프로세스 PID 값을 복사하여 커멘드라인에서 ls -al /proc/pic값 주면 스크립트 돌아가고 있는 디렉토리 위치 보여짐 여기에서 rm -rf 명령을 이용하여 삭제 ** PID값이란? 프로세스가 시작될 때 커널에서 부여해주는 값으로, 참고로 PID값은 모두 다르다. 예를들어서, ps -aux 했을 때 아래의 프로세스가 악성일 경우 nobody  13338  0.3  0.8 17084 9272 ?        S    13:06  1:13 /usr/local/apache/bin/httpd ls -al /proc/13338 해보면 lrwxrwxrwx    1 root    1001            0  9월 17 18:17 exe -> /usr/local/apache/bin/httpd 식으로 경로추적되요 대부분 nobody 사용자로 불법접근해서 루트 따먹기 위해 악성코드 돌리는데 exe -> 위치가 /var/tmp 혹은 /tmp 이에요 요런건 바로 삭제해줘야죠 이제 어설픈 해커나 크래커들에게 당하고 울지 않기를~~~ 부타카케~~ 부타카케~~ 상처받지 않기를~~~ ==================================================================================================== find /dev -type f 해서 /dev/.udev.tdb 출력이 되는데요. 이는 백도어가 아니라고 합니다. 참조링크 http://linux-sarang.net/board/?p=read&table=qa&no=211741 http://linuxfromscratch.org/pipermail/lfs-dev/2004-September/049089.html http://wiki.kldp.org/wiki.php/BooyoLiveCD/RcdotSysinit?action=raw