자문 구해요

아래 의심가는 부분에 대한 것들만 말씀드립니다.

박수영 님의 글

아래는 이전에 해킹당했던 서버의 상태를 카피 한겁니다.
아무것두 멀라던때라 무지 고생했습다.

아래 내용을 보시구 혹 의심 가는 내용이 있으면 지적 부탁합니다.
전 아무것두 머르겠어요.

특히, 밑의 keyservsock 이것은 무엇인지 잘........
그리구 바로 밑의 .nsck_socket 은 네임서버 관련인듯한데..

참고로 SUSE 리눅스 6.4K 버전 입니다.
네임서버 돌구 있구염, 아파치 돌구 있습다.

linux:/etc # netstat -an |grep LISTEN
tcp        0      0 서버IP:53       0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:6711            0.0.0.0:*               LISTEN      ==> 이부분 A
tcp        0      0 0.0.0.0:79              0.0.0.0:*               LISTEN       ==> 이부분 B
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:513             0.0.0.0:*               LISTEN      ==> 이부분 C
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN       ===> 이부분D
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN       ==> 이부분 E
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN     
unix  0      [ ACC ]     STREAM     LISTENING     16468012 /var/run/ndc
unix  0      [ ACC ]     STREAM     LISTENING     71     /var/run/keyservsock
unix  0      [ ACC ]     STREAM     LISTENING     148    /var/run/.nscd_socket
linux:/etc #

위의 부분들 A~E까지를 확인해 보시기 바랍니다.

해킹으로 인한 불법적이 데몬인지는 확인해 봐야 아는 것이구요.
판단은 확인후에 하시기 바랍니다.

1. 사용포트번호 확인은 : /etc/services 파일에서 하시구요.
2. pstree로 메모리에 떠있는 프로세스를 확인해 보십시요.
3. rootkit의 설치는 chkrootkit으로 확인해보시구요.
4. netstat과 lsof로 다시한번 확인해 보시기 바랍니다.
5. root소유의 SetUID, SetGID를 점검해 보십시요.

위의 점검방법들은 강좌란에 있습니다.

감사합니다.