| [ CnUnix ] in KIDS 글 쓴 이(By): guest (aaa) <203.239.179.5> 날 짜 (Date): 2002년 6월 5일 수요일 오후 01시 55분 43초 제 목(Title): Re: [질문] 크랙된 시스템 확인. 주변에 Sun이 하나 있습니다. Solaris 2.5.1입니다. 1. /bin/ps가 setuid root로 되어 있습니다. 수정 날짜는 4월 1일 -.-a 2. ps로 보이지 않는 프로세스 하나가 top으로보입니다. 이름은 sux top의 시간으로 봐서, 벌써 1달쯤 돌고 있군요. 3. /dev/fbs가 root에 600입니다. 크랙된 시스템일까요? 확인해보려면 어디를 살펴야 할까요.? --- 1. /bin/ps 는 원래 setuid 되어 있네요. 2. 이름이 sux인걸로 봐서 99% 크랙. -_-; 머 하는 넘인지 truss -p로 함 보심이.. 내지는 실행 파일을 찾아서 strings라도, 혹은 fuser나 lsof로 그 프로세스와 연관된 파일을 찾아보세요. 3. /dev/fbs는 원래 프레임 버퍼 장치의 물리 주소의 링크가 들어있는 디렉 아닌가요? pkgchk 로 변한 화일을 찾아보시는 건 어떨까여? 일단 ps 나 netstat, ls, find 같은 필수 유틸을 확인된 안전한 것들로 다시 설치하고백도어가 딨는지 확인을 해 보셔야 할 것 같은데요. 물론 network 백도어두여. 너무 일반적인 이야기만 했네여. 쩌비. |