[보안] chattr 와 lsattr 을 이용하여 백도어 삭제하기

작년 www4번에 백도어가 설치되어 있었는데,

fingerd 를 발견하지 못해 삭제하지 않았었습니다.

삭제하는 과정을 아래 설명하였습니다.

(설명은 하지 않아도 될 듯 합니다.)

[root@www4 chkrootkit-0.33]# strings /usr/sbin/in.fingerd

–> 백도어임을 확인함.

[root@www4 chkrootkit-0.33]# rm -f /usr/sbin/in.fingerd

rm: /usr/sbin/in.fingerd: 명령이 허용되지 않음

–> root 로도 삭제가 되지 않음.

[root@www4 chkrootkit-0.33]# ls -la /usr/sbin/in.fingerd

-rwxr-xr-x 1 root root 12237 Nov 19 1998 /usr/sbin/in.fingerd*

[root@www4 chkrootkit-0.33]# lsattr /usr/sbin/in.fingerd

lsattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09

—–a– /usr/sbin/in.fingerd

–> a 속성이 있음을 확인.

[root@www4 chkrootkit-0.33]# chattr

chattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09

usage: chattr [-RV] [-+=AacdisSu] [-v version] files…

[root@www4 chkrootkit-0.33]# chattr -a /usr/sbin/in.fingerd

chattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09

–> -a 로 속성을 해제함.

[root@www4 chkrootkit-0.33]# lsattr /usr/sbin/in.fingerd

lsattr 1.12, 9-Jul-98 for EXT2 FS 0.5b, 95/08/09

——– /usr/sbin/in.fingerd

–>해제되었음

[root@www4 chkrootkit-0.33]# rm -f /usr/sbin/in.fingerd

[root@www4 chkrootkit-0.33]#

–> 정상적으로 삭제됨.