[보안] chattr 와 lsattr 을 이용하여 백도어 삭제하기
작년 www4번에 백도어가 설치되어 있었는데,
fingerd 를 발견하지 못해 삭제하지 않았었습니다.
삭제하는 과정을 아래 설명하였습니다.
(설명은 하지 않아도 될 듯 합니다.)
[root@www4 chkrootkit-0.33]# strings /usr/sbin/in.fingerd
–> 백도어임을 확인함.
[root@www4 chkrootkit-0.33]# rm -f /usr/sbin/in.fingerd
rm: /usr/sbin/in.fingerd: 명령이 허용되지 않음
–> root 로도 삭제가 되지 않음.
[root@www4 chkrootkit-0.33]# ls -la /usr/sbin/in.fingerd
-rwxr-xr-x 1 root root 12237 Nov 19 1998 /usr/sbin/in.fingerd*
[root@www4 chkrootkit-0.33]# lsattr /usr/sbin/in.fingerd
lsattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09
—–a– /usr/sbin/in.fingerd
–> a 속성이 있음을 확인.
[root@www4 chkrootkit-0.33]# chattr
chattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09
usage: chattr [-RV] [-+=AacdisSu] [-v version] files…
[root@www4 chkrootkit-0.33]# chattr -a /usr/sbin/in.fingerd
chattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09
–> -a 로 속성을 해제함.
[root@www4 chkrootkit-0.33]# lsattr /usr/sbin/in.fingerd
lsattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09
——– /usr/sbin/in.fingerd
–>해제되었음
[root@www4 chkrootkit-0.33]# rm -f /usr/sbin/in.fingerd
[root@www4 chkrootkit-0.33]#
–> 정상적으로 삭제됨.