[시스템] lsof 와 locate 를 이용한 시스템 점검방법 …
특정 서버에서 해킹이 되었는지 또는 백도어가 있는지 확인하는 방법중
특정 서버에 기본 포트 이외의 포트가 또 있는지 확인하는 것이 중요하
다.
이는 tt.co.kr 등 임의의 서버에 접속후
nmap www50.tt.co.kr -p 1-65535 와 같이 확인이 가능하며 만약
포트스캔 결과 35234 번이 의심스럽다고 판단되었다면 해당 서버(www50)
로 로긴후 과연 어떤 프로세스가 35234번을 점유하고 있는지 알아야 한
다.
이는 lsof 를 이용가능한데.
lsof -i|grep 35234 를 하면 된다.
반대로 만약 ps aux결과 ./bin 이라는 프로세스가 어떤 포트를 점유하고
있는지 알려면 lsof -i|grep bin 을 하면 된다.
위의 결과로 35234번 포트가 ./hack 이라는 프로세스인것을 확인하였고 그
렇다면 이 프로세스를 실행하고 있는 파일은 어떤 디렉토리에 있는지 확인
을 하여야 한다.
이는 find / -name “hack” -print 와 같이 할수도 있으나
그냥 간단하게 locate hack 이라고 하면 바로 찾을 수 있다.
locate 라는 명령어는 매일 /etc/cron.daily/slocate.cron 라는 프로세스
를 실행하여 서버내 존재하는 파일명을 db 형태로 매일 갱신하여 저장하므
로 빨리 찾을 수 있다.
따라서 lsof 로 1차 확인후
ps aux 로 확인
locate filename 으로 위치를 확인한다.
만약 현재 설치한 백도어를 통해 공격이 진행되고 있다면
tcdpump port 35234 로 어떤 IP 에서 35234 포트로 접근을 하고 있는지
확인할 수 있다.
이정도 명령어는 시스템관리자로서 기본 명령어이니만큼
꼭 숙지하여 실제 시스템에 적용할수 있기를 바란다.