Linux 일반 시스템 뒷문 검사 명령

Linux 일반 시스템 뒷문 검사 명령
1. 이상 계 정 검사 - cat/etc/passwd

        /etc/passwd，            ，        :      ，               ，        ID，   UID，  0       UID，           。  Linux      root        ，                ，     ，           。

2. 이상 로그 인 확인
who 는 현재 로그 인 사용자 (tty 로 컬 로그 인 pts 원 격 로그 인) w 를 보고 시스템 정 보 를 봅 니 다. 어느 순간 사용자 의 행동 last 는 모든 사용자 로그 인 정보 lastb 를 보 여 줍 니 다. 모든 사용자 로그 인 실패 정 보 를 보 여 줍 니 다 lastlog 는 모든 사용자 의 최근 로그 인 정보 3, 네트워크 연결 - netstat - pantl 을 보 여 줍 니 다.

            ，             ，              ，                。

4. 프로 세 스 보기 - ps - ef | 더 보기

          ，                 ，   more     ps            。

                              。       ，PID      ID ，PPID     ，              ，          PID    。              ，                  ，    ps -ef                ，        ps -ef        more  ，                 。



                     ，      ps           abc，            ，               abc ，      ，         /proc                       ，   ，  lsof -p              

ls - la/proc/exe 또는
계획 임무
crontab - l 계획 작업 목록 을 보 여 줍 니 다 crontab - e 계획 작업 을 편집 합 니 다. 계획 작업 에 보이 지 않 는 문자 가 나타 날 때 이 명령 이 있어 야 구체 적 인 정 보 를 볼 수 있 습 니 다 ls - la/var/spool/cron/계획 작업 파일 more/etc/crontab 계획 작업 을 볼 수 있 습 니 다.해커 가 시스템 에 정기 적 으로 실행 되 는 악성 스 크 립 트 나 프로그램 을 추 가 했 는 지 확인 할 수 있다.만약 어떤 계획 작업 이 정기 적 으로 python 스 크 립 트 를 실행 하 는 것 을 발견 한다 면, 우 리 는 이 python 스 크 립 트 가 악의 적 인 것 인지 아 닌 지 를 모 르 겠 습 니 다. 이 때 는 python 스 크 립 트 의 내용 을 보고 악성 스 크 립 트 인지 확인 해 야 합 니 다.
6. 시스템 시작 항목
more/etc/rc. local ls - l/etc/rc. d/rc < 0 ~ 6 > d 우선 보기/etc/rc. d/rc3. d 내용 more/etc/ld. so. preload ld. so. preload 는 Liux 동적 링크 라 이브 러 리 입 니 다. Liux 정상 프로그램 실행 과정 에서 동적 링크 기 는 LD 를 읽 습 니 다.PRELOAD 환경 변수의 값 과 기본 설정 파일/etc/ld. so. preload 의 파일 내용 을 읽 고 읽 은 동적 링크 라 이브 러 리 를 미리 불 러 옵 니 다. 프로그램 이 이러한 동적 링크 라 이브 러 리 에 의존 하지 않 더 라 도.시스템 시작 항목 을 보 는 것 도 해 킹 공격 을 효과적으로 발견 하 는 방법 이다. 일반적으로 우 리 는 상술 한 이 몇 개의 파일 만 보면 된다.
7. 시스템 로그
/var/log/secure SSH 로그 인 로그, su 사용자 로 그 를 전환 합 니 다. 계 정과 비밀번호 가 있 는 프로그램 이 라면/var/log/message 기록 시스템 의 중요 한 정 보 를 기록 하 는 로 그 를 기록 합 니 다.이 로그 파일 에는 리 눅 스 시스템 의 절대 다수의 중요 한 정보 가 기록 되 어 있 지만, 기 록 된 정보 가 너무 복잡 해서 일반적으로 보지 않 습 니 다.var/log/cron 계획 작업 로그/var/log/wtmp 는 모든 사용자 의 로그 인, 로그아웃 정 보 를 기록 하 는 동시에 시스템 의 시작, 재 부팅, 꺼 진 이 벤트 를 기록 합 니 다.이 파일 은 바 이 너 리 파일 입 니 다. last 명령 을 사용 하여 시스템 로 그 를 확인 해 야 합 니 다. 해커 가 무슨 일 을 했 는 지 알 수 있 습 니 다. 그러나 일반적으로 우 리 는 secure 로그 만 보면 됩 니 다. 이 로 그 는 해커 가 폭력 적 으로 해결 하 는 방법 으로 서버 를 무 너 뜨 린 적 이 있 는 지 를 효과적으로 발견 할 수 있 습 니 다. 로 그 를 보 는 방식 도 간단 합 니 다. cat, more,grep 등 명령 으로 확인 하면 됩 니 다.
8, 루트 킷 처치
chkrootkit rkhunter 가 더 강력 한 시스템 목 마 를 만 났 다 면, 예 를 들 어 Rootkit 와 같은 뒷문 을 만 났 을 때, 우 리 는 전문 적 인 Rootkit 처치 도 구 를 사용 해 야 한다. 직접 실행 하면 처치 를 시작 할 수 있다.