Ddd

421 views
384 views

Published on

ddd

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
421
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ddd

  1. 1. CLS Presentation<br />
  2. 2. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제-<br />Solaris시스템(13.155.33.234)을 관리하던 중 H보안회사(233.235.231.233)로부터 다음과 같은 항의메일을 받았다. <당신의 컴퓨터로부터 주기적인 해킹시도가 있으므로 다음 로그를 참고하여 시스템을 보안조치해달라.> 시스템을 점검하여 해커가 설치한 해킹프로그램을 삭제하시오.참고로 이 시스템이 셋업된 날짜는 2001년 10월1일이며, H사로부터 보내온 로그파일은 다음과 같다. Oct 26 18:07:45 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234 Oct 26 18:08:14 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234 <br />
  3. 3. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제풀이-<br />touch -t 200110020000 1.txt 로2001년10월2일 00시에 생성된 1.txt 생성<br />
  4. 4. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제풀이-<br />touch -t 200110262359 2.txt 2001년10월26일 23시 59분에 생성된 2.txt 생성<br />
  5. 5. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제풀이-<br /># find / -newer 1.txt -a ! -newer 2.txt -ls | greprpc로1과 2의 생성기간 사이의 파일을 검색한다.<br />
  6. 6. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제풀이-<br /># rm명령어로 해킹파일을 종료한다.<br />
  7. 7. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제-<br />피해시스템을 분석하던 관리자는 /dev 디렉토리에서 침입자가 심어놓은 것으로 추정되는 파일을 발견했다. 이는 침입자의 악의적인 프로세스를 숨기기 위한 파일로 보이며 관리자는 이 파일을 찾아서 삭제하여야 한다. 그리고 이 파일을 사용하고 있는 프로세스가 있는지 확인하고 만약 존재한다면 그 프로세스를 종료시키시오.<br />
  8. 8. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-PTYP, PTYQ-<br />PTYP? PTYQ?<br />Ptyp와 ptyq는 /dev 에 위치해 있으며 ps나 netstat에서프로세스 이름이나 ip주소 pid등을 숨길 수 있다.<br />
  9. 9. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-학습목표-<br />-ptyp, ptyq의 개념을 안다.<br />-LSOF을 잘 구사할 수 있다.<br />
  10. 10. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-LSOF-<br />
  11. 11. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Cd /dev 로 /dev로 이동한다.<br />
  12. 12. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Cat ptyp, cat ptyq로 숨겨진 프로세스등의 정보를 얻는다.<br />
  13. 13. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Lsof –c bconn로 bconn가 실행 중인지 확인한다.<br />
  14. 14. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Kill -9 pid로 프로세스를 종료한다.<br />
  15. 15. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Kill -9 pid로 프로세스를 종료한다.<br />

×