리눅스 분류
서버해킹 당한거 같은데요 로그분석 및 대처방법 문의
작성자 정보
- 안재성 작성
- 작성일
컨텐츠 정보
- 3,710 조회
- 0 추천
- 목록
본문
로그를 보니 perl 으로는 눈에 띄는 단어가 보입니다.
요거는 실제 root가 어떤 작업을 예약해 놓거나(cron) 실행하지도 않았는데
프로세서로 있는것은 의심해 봐야 합니다.(perl 로 처리되는 소스가 없다면)
pstree -p 하셔서 perl 이 있으시면 pid 숫자를 다음과 같이 찾아갑니다.
cd /proc/숫자 그리고
ll 로 리스트를 보시면
이프로세스의 출처가 나옵니다.
보통 /tmp에 nobody 권한의 무언가를 맹글어 놓고 보안에 위배되는 짓을
하곤합니다.
서버단에서 기본적으로 할수있는 보안은
TCP Warpper
Iptables
sshd.conf 에서의 ssh root 로 접근못하게 하는 것등이 있습니다.
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
