결과값 좀 해석 부탁드리겠습니다.
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 2,780 조회
- 0 추천
- 목록
본문
안녕하십니까? 오늘과내일의 홍석범입니다.
올려주신 내용만으로는 해킹의 징후는 보이지 않습니다.
서버다운과 해킹여부는 무관한 것으로 보이니 안심해도 될 듯 하며
CPU나 RAM, Board등 HW등을 점검해 보시기 바랍니다.
감사합니다.
cdduck 님의 글
안녕하세요...답변 정말 감사합니다.
죄송합니다만, 보다 구체적인 내용을 적어 보겠습니다. 도움을 부탁드리겠습니다.
1. 리눅스 커널 버젼
[root@imx-www02 etc]# uname -ar
Linux imx-www02 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux
2. 숨겨진 파일 찾기
find / -name "..*" -print
--> 결과 값
[root@imx-www02 etc]# find / -name "..*" -print
/usr/share/man/man1/..1.gz
3. 소유자없는 파일과 디렉토리 검사
[root@imx-www02 etc]# find / -nouser -o -nogroup -print |more
find: /proc/28623/task/28623/fd/4/proc/28448
/proc/28448/task/28448
/proc/28477
/proc/28477/task/28477
/proc/28501
/proc/28501/task/28501
/proc/28522
/proc/28522/task/28522
/proc/28529
-- 중간 생략 --
583/task/28583
: ã
/proc/28584
find: /proc/28623/task/28623/fd/4: ã<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
/proc/28589
/proc/28589/task/28589
/proc/28590
-- 이하 더 있음 --
4. 속성 변경여부 체크 --> 이상없음
5. 루트 권한 가진 사용자 체크 --> 이상없음
6. 열린포트 체크
[root@imx-www02 etc]# netstat -na |grep LISTEN
tcp 0 0 0.0.0.0:32769 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:38670 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5432 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 :::15009 :::* LISTEN
tcp 0 0 :::11009 :::* LISTEN
tcp 0 0 ::ffff:127.0.0.1:8005 :::* LISTEN
tcp 0 0 :::8009 :::* LISTEN
tcp 0 0 ::ffff:127.0.0.1:13005 :::* LISTEN
tcp 0 0 :::8080 :::* LISTEN
tcp 0 0 :::80 :::* LISTEN
tcp 0 0 :::13009 :::* LISTEN
tcp 0 0 ::ffff:127.0.0.1:14005 :::* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 :::5432 :::* LISTEN
tcp 0 0 :::14009 :::* LISTEN
tcp 0 0 ::ffff:127.0.0.1:15005 :::* LISTEN
tcp 0 0 ::ffff:127.0.0.1:11005 :::* LISTEN
unix 2 [ ACC ] STREAM LISTENING 5516 /tmp/.font-unix/fs7100
unix 2 [ ACC ] STREAM LISTENING 7100 /tmp/.gdm_socket
unix 2 [ ACC ] STREAM LISTENING 7159 /tmp/.X11-unix/X0
unix 2 [ ACC ] STREAM LISTENING 34366344 @/tmp/fam-root-
unix 2 [ ACC ] STREAM LISTENING 36582 /tmp/.s.PGSQL.5432
unix 2 [ ACC ] STREAM LISTENING 34365920 /tmp/orbit-root/linc-6d3f-0-b3fc78163972
unix 2 [ ACC ] STREAM LISTENING 34366103 /tmp/ssh-WzPQJ27971/agent.27971
unix 2 [ ACC ] STREAM LISTENING 34366183 /tmp/orbit-root/linc-6d27-0-1aebde034cf76
unix 2 [ ACC ] STREAM LISTENING 34366217 /tmp/.ICE-unix/27943
unix 2 [ ACC ] STREAM LISTENING 34366226 /tmp/keyring-lpwRNq/socket
unix 2 [ ACC ] STREAM LISTENING 34366624 /tmp/mapping-root
unix 2 [ ACC ] STREAM LISTENING 34366274 /tmp/orbit-root/linc-6d71-0-50e975a6dd54e
unix 2 [ ACC ] STREAM LISTENING 34366297 /tmp/orbit-root/linc-6d77-0-46d5e4ed29e77
unix 2 [ ACC ] STREAM LISTENING 34366442 /tmp/orbit-root/linc-6d9e-0-fd9a2a829185
unix 2 [ ACC ] STREAM LISTENING 34366477 /tmp/orbit-root/linc-6da0-0-814fc8ca5227
-- 이하 생략 --
7. chkrootkit 설치 후, 검사 --> 이상없음
8. rootkit hunter 설치 후, 검사 --> 이상없음
9. rootcheck 설치 후, 검사 --> 이상없음
위와 같은 검색을 해보았습니다.
웹서버로 사용중인 서버로, 이유없이 갑자기 서버가 다운되는 현상이 있어서, 시스템 로그를 보려고 했으나
messages 로그파일이 없고, lastlogin 파일이 없어서, 해킹이 아닌가 조사를 해보고 있는 중에 저와 같은 결과를
얻게 되었습니다.
리눅스에 대한 경험이 미천한 관계로, 어떻게 조치를 해야될지 확신할수가 없어서 이렇게 도움을 요청드립니다.
많은 조언과 도움 부탁드리겠습니다.
관련자료
-
이전
-
다음
