| desc : 관리중인 solaris 시스템이 어느날 해킹을 당하여 외부 침입자가 불법침입을 하였다. 다행히 외부침입자의 침입경로를 파악하여 제거하였으나, 불법침입을 한 상태에서 행한 불법작업내역은 아직 확인하지 못하였다. 특히 이 침입자는 이 시스템을 경유지로 하여 타 시스템에 대하여 지속적인 스캐닝 또는 서비스거부공격을 하고 있을 가능성이 매우 높다. solaris 시스템을 평소 관리했던 상식에 비추어서 시스템내에서 의심스럽게 보이는 프로세스를 찾아서 강제종료 시키시오. 캡쳐 설명.. ps명령어로 보니, http 데몬이 있어서 netstat 명령어로 80포트가 있는지 확인해보고.. 없길래 이상하다 싶어 lsof명령어로 확인해보니.. /usr/bin/mserv 란다.. 수상한 데몬일세.. 확인차 /usr/bin/mserv 를 백그라운드로 하고 실행해보니.. 역시나 (http) 프로세스가 뜬다.. 내가 띄운 넘이랑, 원래 띄워진 넘 두 마리다 kill하고 finish 참고 꼭 알아둬야 할 명령어 ps, netstat, lsof, kill 흠..캡처의 압박이 덜덜덜.. 원래는 필요없는 부분 잘라내고 간단하게 정리했는데..^^;; 귀차니즘의 압박이..ㅡㅡ;; 그런데 이상한 점은.. 같은 문제라도 답이 여러개일 수 있나? 지난번에 풀기는 했는데 대충 인터넷에서 뒤져서 꽁수로 풀었는데.. 다시 제대로 풀었더니 그때 답과 지금 답이 다르네요^^;; 역시 제대로 풀어야..ㅋ |
Trackback URL : http://apollo89.com/blog/trackback/51
rss