리눅스 분류
해킹 후 백도어 좀 찾는 법 알려주세요
작성자 정보
- 김종수 작성
- 작성일
컨텐츠 정보
- 3,486 조회
- 2 댓글
- 0 추천
- 목록
본문
며칠 전부터 서버에 이상한 apache 관련 프로세서(dont-love-me/-DSSL/shttpd)가 떠 있길래 찾아보았더니 고객사이트에 설치된 rgboard(알지보드)하위폴더에 apache 계정으로
incon 이라는 폴더가 생겨있고 혹시나 싶어서 크론쪽(/var/spool/cron/)
하위에 apache 파일이 생성되어서 살펴보았더니 incon/.b//LENI.botchk >/dev/null 2>&1 ....
이런식으로 모정의 먼가를 실행시키고 있더군요.
해킹이 틀림없는데 설치된 폴더는 날렸는데 어딘가에 백도어가 있을거
같은데요 고수님들 좀 알려주세요..기본적인 사항이라도..급합니다.
관련자료
-
이전
-
다음
댓글 2
도리님의 댓글
- 도리
- 작성일
안녕하세요.
netstat 명령으로 수상한 ㅤㅍㅗㅌ트 점검하고,
pstree로 프로셋스 점검하고,
apache 소유의 모든 파일 점검해서 확인 해 보세요..
netstat 명령으로 수상한 ㅤㅍㅗㅌ트 점검하고,
pstree로 프로셋스 점검하고,
apache 소유의 모든 파일 점검해서 확인 해 보세요..
김종수님의 댓글
- 김종수
- 작성일
감사합니다.
chkrootkit 설치후 백도어 경로를 파악한 후 삭제했습니다.
php 인젝션이더군요^^
chkrootkit 설치후 백도어 경로를 파악한 후 삭제했습니다.
php 인젝션이더군요^^
