Ddd
Upcoming SlideShare
Loading in...5
×
 

Ddd

on

  • 547 views

ddd

ddd

Statistics

Views

Total Views
547
Views on SlideShare
547
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Ddd Ddd Presentation Transcript

    • CLS Presentation
    • 특정날짜에 설치된 해킹프로그램 검출 문제
      -문제-
      Solaris시스템(13.155.33.234)을 관리하던 중 H보안회사(233.235.231.233)로부터 다음과 같은 항의메일을 받았다. <당신의 컴퓨터로부터 주기적인 해킹시도가 있으므로 다음 로그를 참고하여 시스템을 보안조치해달라.> 시스템을 점검하여 해커가 설치한 해킹프로그램을 삭제하시오.참고로 이 시스템이 셋업된 날짜는 2001년 10월1일이며, H사로부터 보내온 로그파일은 다음과 같다. Oct 26 18:07:45 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234 Oct 26 18:08:14 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234
    • 특정날짜에 설치된 해킹프로그램 검출 문제
      -문제풀이-
      touch -t 200110020000 1.txt 로2001년10월2일 00시에 생성된 1.txt 생성
    • 특정날짜에 설치된 해킹프로그램 검출 문제
      -문제풀이-
      touch -t 200110262359 2.txt 2001년10월26일 23시 59분에 생성된 2.txt 생성
    • 특정날짜에 설치된 해킹프로그램 검출 문제
      -문제풀이-
      # find / -newer 1.txt -a ! -newer 2.txt -ls | greprpc로1과 2의 생성기간 사이의 파일을 검색한다.
    • 특정날짜에 설치된 해킹프로그램 검출 문제
      -문제풀이-
      # rm명령어로 해킹파일을 종료한다.
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -문제-
      피해시스템을 분석하던 관리자는 /dev 디렉토리에서 침입자가 심어놓은 것으로 추정되는 파일을 발견했다. 이는 침입자의 악의적인 프로세스를 숨기기 위한 파일로 보이며 관리자는 이 파일을 찾아서 삭제하여야 한다. 그리고 이 파일을 사용하고 있는 프로세스가 있는지 확인하고 만약 존재한다면 그 프로세스를 종료시키시오.
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -PTYP, PTYQ-
      PTYP? PTYQ?
      Ptyp와 ptyq는 /dev 에 위치해 있으며 ps나 netstat에서프로세스 이름이나 ip주소 pid등을 숨길 수 있다.
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -학습목표-
      -ptyp, ptyq의 개념을 안다.
      -LSOF을 잘 구사할 수 있다.
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -LSOF-
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -문제풀이-
      Cd /dev 로 /dev로 이동한다.
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -문제풀이-
      Cat ptyp, cat ptyq로 숨겨진 프로세스등의 정보를 얻는다.
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -문제풀이-
      Lsof –c bconn로 bconn가 실행 중인지 확인한다.
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -문제풀이-
      Kill -9 pid로 프로세스를 종료한다.
    • 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거
      -문제풀이-
      Kill -9 pid로 프로세스를 종료한다.