[시스템] lsof 와 locate 를 이용한 시스템 점검방법 …

특정 서버에서 해킹이 되었는지 또는 백도어가 있는지 확인하는 방법중

특정 서버에 기본 포트 이외의 포트가 또 있는지 확인하는 것이 중요하

다.

이는 tt.co.kr 등 임의의 서버에 접속후

nmap www50.tt.co.kr -p 1-65535 와 같이 확인이 가능하며 만약

포트스캔 결과 35234 번이 의심스럽다고 판단되었다면 해당 서버(www50)

로 로긴후 과연 어떤 프로세스가 35234번을 점유하고 있는지 알아야 한

다.

이는 lsof 를 이용가능한데.

lsof -i|grep 35234 를 하면 된다.

반대로 만약 ps aux결과 ./bin 이라는 프로세스가 어떤 포트를 점유하고

있는지 알려면 lsof -i|grep bin 을 하면 된다.

위의 결과로 35234번 포트가 ./hack 이라는 프로세스인것을 확인하였고 그

렇다면 이 프로세스를 실행하고 있는 파일은 어떤 디렉토리에 있는지 확인

을 하여야 한다.

이는 find / -name “hack” -print 와 같이 할수도 있으나

그냥 간단하게 locate hack 이라고 하면 바로 찾을 수 있다.

locate 라는 명령어는 매일 /etc/cron.daily/slocate.cron 라는 프로세스

를 실행하여 서버내 존재하는 파일명을 db 형태로 매일 갱신하여 저장하므

로 빨리 찾을 수 있다.

따라서 lsof 로 1차 확인후

ps aux 로 확인

locate filename 으로 위치를 확인한다.

만약 현재 설치한 백도어를 통해 공격이 진행되고 있다면

tcdpump port 35234 로 어떤 IP 에서 35234 포트로 접근을 하고 있는지

확인할 수 있다.

이정도 명령어는 시스템관리자로서 기본 명령어이니만큼

꼭 숙지하여 실제 시스템에 적용할수 있기를 바란다.