해킹후 복구를 어떻게 해야할 지 . . .

안녕하세요..

일반적으로 rootkit 이 깔렸다면 현재 서버를 포기해야 될껍니다.

삭제 혹은 변조된 파일들..

일일히 찾아서 복구 할수도 없는 노릇이고..

머가 바뀌었는지 분석하는것 자체가 힘이듭니다. ( 그럼 복구는? -.- )

이럴경우 새로 설치하는것이 더 빠르고 효율적입니다.

새로운 하드디스크를 하나 사서(혹은 data 자료들만 백업하고..

/home 파티션 밑의 사용자 자료, /etc/passwd /etc/shadow

apache, dns, mail 설정 파일등.. )

 같은 버젼의 linux를 설치합니다. (혹은 더 높은 버젼..)

그리고 같은 버젼들의 데몬을 설치합니다. ( apm 등등..)

그리고 자료들을 복구 시킵니다.

참고만 하세욤~ ^^;

김태형 님의 글

안녕하세요

수퍼유저 여러분! ^^

저는 리눅스에 입문한지 얼마되지 않아 이 곳에서 만들었던 리눅스 서버관리 실무 바이블을 보면서 공부를 하고 있는 어설픈 서버 관리자입니다.

아직은 모르는게 많은 상태에서 해킹을 당하고 나니 어떻게 복구를 해야할 지 난감하군요

수퍼유저 여러분이 도와주셨으면 합니다.

해킹을 당한후 텔넷으로 아무리접속을 하려구 해도 접속이 되지 않아 강제로 서버를 싱글모드로 리부팅을 시켰습니다.

시스템을 보니깐 참으로 난감하더군요.

/etc/passwd -> /etc/passwd-로 바꾸어져있고 root 암호를 바꾸려구 passwd라는 명령어를 입력하니 "Authentication token maniputation error"라는 에러메세지만 나타납니다.

/etc/rpm에는 텅비어 있고 rpm이란 명령어는 먹히지도 않구 . .

/tmp에 보니 php로 시작하여 숫자와 알파벳이 디엉킨 화일들이 날짜별로 오늘날짜까지 만들어져 있고 . . .    -.-

그리고 그 외 또 어떤 부분을 건드렸는지 감도 잡히지 않구요

도대체 어디부터 작업을 해야 할 지 참으로 난감하군요.

도와주세요. . .

그럼, 좋은 하루 되세요.

연락부탁드립니다.