Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ddd

470 views

Published on

ddd

  • Be the first to comment

  • Be the first to like this

Ddd

  1. 1. CLS Presentation<br />
  2. 2. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제-<br />Solaris시스템(13.155.33.234)을 관리하던 중 H보안회사(233.235.231.233)로부터 다음과 같은 항의메일을 받았다. <당신의 컴퓨터로부터 주기적인 해킹시도가 있으므로 다음 로그를 참고하여 시스템을 보안조치해달라.> 시스템을 점검하여 해커가 설치한 해킹프로그램을 삭제하시오.참고로 이 시스템이 셋업된 날짜는 2001년 10월1일이며, H사로부터 보내온 로그파일은 다음과 같다. Oct 26 18:07:45 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234 Oct 26 18:08:14 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234 <br />
  3. 3. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제풀이-<br />touch -t 200110020000 1.txt 로2001년10월2일 00시에 생성된 1.txt 생성<br />
  4. 4. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제풀이-<br />touch -t 200110262359 2.txt 2001년10월26일 23시 59분에 생성된 2.txt 생성<br />
  5. 5. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제풀이-<br /># find / -newer 1.txt -a ! -newer 2.txt -ls | greprpc로1과 2의 생성기간 사이의 파일을 검색한다.<br />
  6. 6. 특정날짜에 설치된 해킹프로그램 검출 문제<br />-문제풀이-<br /># rm명령어로 해킹파일을 종료한다.<br />
  7. 7. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제-<br />피해시스템을 분석하던 관리자는 /dev 디렉토리에서 침입자가 심어놓은 것으로 추정되는 파일을 발견했다. 이는 침입자의 악의적인 프로세스를 숨기기 위한 파일로 보이며 관리자는 이 파일을 찾아서 삭제하여야 한다. 그리고 이 파일을 사용하고 있는 프로세스가 있는지 확인하고 만약 존재한다면 그 프로세스를 종료시키시오.<br />
  8. 8. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-PTYP, PTYQ-<br />PTYP? PTYQ?<br />Ptyp와 ptyq는 /dev 에 위치해 있으며 ps나 netstat에서프로세스 이름이나 ip주소 pid등을 숨길 수 있다.<br />
  9. 9. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-학습목표-<br />-ptyp, ptyq의 개념을 안다.<br />-LSOF을 잘 구사할 수 있다.<br />
  10. 10. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-LSOF-<br />
  11. 11. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Cd /dev 로 /dev로 이동한다.<br />
  12. 12. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Cat ptyp, cat ptyq로 숨겨진 프로세스등의 정보를 얻는다.<br />
  13. 13. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Lsof –c bconn로 bconn가 실행 중인지 확인한다.<br />
  14. 14. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Kill -9 pid로 프로세스를 종료한다.<br />
  15. 15. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 <br />-문제풀이-<br />Kill -9 pid로 프로세스를 종료한다.<br />

×