데이터베이스를 사랑하는 사람들의 모임 데이터베이스 사랑넷

죄송합니다 도와주세요

작성자

대훈

작성일

2003-06-17 18:23

조회수

1,942

일단 /dev/null 디바이스 파일을 복구하셔야 합니다.

수정모드라고 하는 그 상태에서 / 파티션이 read-only 로 마운트 되어 있지만 mount -n -o remount,rw / 하시면

rw 모드로 진입할 수 있을 겁니다.

rw 모드가 되었다면,

rm -f /dev/null

mknod /dev/null c 1 3

하셔서 디바이스 파일을 복구하실수 있을겁니다.

rootkit 이 심어져 있다면 복구하기 난감할 겁니다.

일단은 필요한 데이터를 백업하시고, 남는 하드디스크가 있다면 하드를 교체해서 새로 리눅스를 설치하고 데이터를 옮기고, 해킹당한 하드는 따로 마운트 해서 공부 목적으로 들여다 보시는게 좋겠어요.

이운억님이 2003-06-18 12:15에 작성한 댓글입니다.

오늘 받은 sec-info@cert.certcc.or.kr 메일링 리스트에 적절한 내용이 있어서 긁어 왔습니다.

추가 분석 :

보통 scan 프로그램이 있으면, 그 결과 값이 시스템 어딘가에 저장되어 있을 겁니다.

숨겨진 디렉토리를 잘 찾아보셔야 할듯 합니다. 시스템 분석에 관한 자세한 내용은

다음 문서 참고 바랍니다.

유닉스 피해시스템 분석 : http://www.securitymap.net/sp/docs/UNIX_analysis.doc

침입자 추적 :

추적 여부는 백도어를 찾아야 합니다. 백도어가 있다면, 공격자가 다시 시스템에

접근할 가능성이 있다는 겁니다. tcpdump 등을 이용해서 해당 백도어로 접근하는

패킷을 로깅하면서 기다리면 언젠가 공격자가 접속을 시도할 겁니다.(아마도 trojaned

ssh이 아닐까 합니다. 요즘 가장많이 사용하니깐요) 물론 네트워크 관리자가 블라킹을

해제해야 겠죠! 침입자의 추적또는 모니터링에 대해서는 많은 설명이 필요해서,

여기에 다 적기에는 힘듭니다.

아뭏든 만약 공격자 행동을 모니터링을 한다고 하면, 시스템 날릴 각오는 하는것이

좋습니다. 날려도 상관없다면, 해보는것도 좋은 경험이 될겁니다.

물론 어쩌면 공격자 IP가 로그파일에 남아있을수도 있습니다. 지우지 않았다면 ,,,

복구 및 사후 처리:

본인 스스로 생각하기에 모든 공격 흔적을 찾아서 복구했다 생각하시면, 그냥 쓰시고,

그게 아니다라는 생각이 드시면, OS 다시 새로 설치하고, 웹서버등 각종 서버의

홈피찾아서 최신버전으로 다시 설치하시고 쓰세요!

만약 공격자의 IP를 찾으셨다면, 다음 문서 참고하셔서 관련 로그와 함께 공격

사이트에 항의메일을 보내세요! 공격사이트도 해킹을 당했을 경우가 대부분 이므로

알려주는것이 좋겠죠!

http://www.certcc.or.kr/paper/cert.html

서버를 다시 설치하실 경우에는 다음문서 참고 바랍니다.

http://www.securitymap.net/sdm/docs/system-sec/linux_security.html