리눅스 분류
이런경우가..해킹인지 한번 봐주세요..
작성자 정보
- 박태혁 작성
- 작성일
컨텐츠 정보
- 3,078 조회
- 0 추천
- 목록
본문
해킹이 맞는지 한 번 봐주세요.
종류: sulinux
일단....
사건당일 오전에 아래와 같은 똑같은 일이 있어서 문제의 mkdk 라는 계정을 삭제하고 root 비밀번호를 한번 바꾸었습니다.
그런데 오후에....ssh접근해서 보았더니 다시 같은 현상이 발생했습니다..
1) home 밑에 제가 만들지 않은 mkdk라는 디렉토리가 생성되어있음.
2) /etc/passwd 를 열어보니..
mkdk:x:0:0::/home/mkdk:/bin/bash
마지막 줄에 이렇게 한줄이 추가되어 있음.
마지막 줄에 이렇게 한줄이 추가되어 있음.
3)
last 로 보니..
mkdk pts/3 190.48.102.177 Wed Aug 23 18:14 still logged in
지금도 접속되어 있는 상황이구요..
해킹같은데... 어찌 대처하면 좋을까요...
아직 별달리 삭제하거나 변경하거나 한건 없는듯 한데..
계정을 그냥 삭제해 버리면 다시 들어와 중요한거 삭제해 버릴거 같고..ㅜㅜ
시스템에 뭔가 숨겨둔거 같기도 한데...(오전에 비번을 바꿨는데 다시
들어온거니...)ㅜㅜ
아웅.. 심장 콩닥거려....
계정을 삭제해 버리려 해도 지금 로그인 중이라 삭제할수 없다고 나온거 같아요..ㅜ
------------------------------------------------------------------------------------------------
적으신글을 보니 제가 보기에도 해킹같습니다. ㅡㅡ^
chkrootkit와 rkhunter을 이용해서 파일변조나 rootkit이 설치되어있는지 보시는게 좋을듯합니다.
그리고 /var디렉토리에 이상한 폴더나 파일이 있는지 보시고 root계정에 .bash_history를 보시면 작업하면서 입력한 명령어들이 주욱~나열되어 있습니다.
계정이 접속되어있더라도 kill을 이용해서 강제적으로 종료를 할수가 있습니다.
일단은 필요한 조치를 모두 하신후 랜선을 뽑고 해킹으로 인한 파일변조나 이상유무를 조사하시는게 좋을것 같습니다.
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
