해킹 판별 질문
작성자 정보
- 박지훈 작성
- 작성일
컨텐츠 정보
- 2,677 조회
- 1 댓글
- 0 추천
- 목록
본문
tcp 0 0 0.0.0.0:4000 0.0.0.0:* LISTEN 27443/smsdlistener
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 18077/mysqld
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1747/httpd
tcp 0 0 0.0.0.0:8181 0.0.0.0:* LISTEN 31345/inetd
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1613/vsftpd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 18655/sendmail: acc
tcp 0 0 :::22 : ::* LISTEN 1593/sshd
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 227395769 18077/mysqld /tmp/mysql.sock
smsdlistener는 SMS 데몬입니다.
inetd가 좀 의심스럽니다.
그래서
[root@www proc]# ls -la /proc/31345
total 0
dr-xr-xr-x 3 nobody nobody 0 Dec 26 13:56 .
dr-xr-xr-x 231 root root 0 Oct 20 12:53 ..
dr-xr-xr-x 2 nobody nobody 0 Dec 28 11:30 attr
-r-------- 1 nobody nobody 0 Dec 28 11:30 auxv
-r--r--r-- 1 nobody nobody 0 Dec 28 09:04 cmdline
lrwxrwxrwx 1 nobody nobody 0 Dec 28 11:30 cwd -> /
-r-------- 1 nobody nobody 0 Dec 28 11:30 environ
lrwxrwxrwx 1 nobody nobody 0 Dec 28 11:30 exe -> /usr/bin/perl
dr-x------ 2 nobody nobody 0 Dec 28 09:04 fd
-r-------- 1 nobody nobody 0 Dec 28 11:30 maps
-rw------- 1 nobody nobody 0 Dec 28 11:30 mem
-r--r--r-- 1 nobody nobody 0 Dec 28 11:30 mounts
lrwxrwxrwx 1 nobody nobody 0 Dec 28 11:30 root -> /
-r--r--r-- 1 nobody nobody 0 Dec 28 09:04 stat
-r--r--r-- 1 nobody nobody 0 Dec 28 09:05 statm
-r--r--r-- 1 nobody nobody 0 Dec 28 09:04 status
dr-xr-xr-x 3 nobody nobody 0 Dec 26 13:56 task
-r--r--r-- 1 nobody nobody 0 Dec 28 11:30 wchan
라고 나옵니다.
제가 초짜인지라 판별을 잘 못하겠습니다.
조언부탁드립니다. 좋은 하루 되세세요.
관련자료
-
이전
-
다음
최광민님의 댓글
- 최광민
- 작성일
다만 대부분의 경우 리눅스 시스템의 /proc 이하 파일들은 파일의 소유권자와 그룹이 root인데.. nobody 인것이 의심스럽기는 합니다. nobody 의 권한이라면 web등의 특정 백도어나 경로에서 접근이 가능하다고 가정시에 여러가지로 장난을 쳐줄 소지가 있을수도 있겠죠...
좀더 자세한 정보와 치밀한 분석이 필요합니다.
