1597, 1/80 ȸ¿ø°¡ÀÔ  ·Î±×ÀΠ 
   ¼ÒÀ¯
   http://soyu.cafe2.net
   ÇØÅ·´çÇÑ ¼­¹ö¿¡¼­ È®ÀÎÇؾßÇÒÀÏ

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=76 [º¹»ç]


ÇØÅ·´çÇÑ ¼­¹ö¿¡¼­ È®ÀÎÇؾßÇÒÀÏ  

ÇØÅ· ÇÇÇؽýºÅÛ ºÐ¼® ÀýÂ÷
  



ÀÌ ¹®¼­´Â ½Ã½ºÅÛÀÌ Ä§ÀÔÀ» ´çÇßÀ» °æ¿ì À¯´Ð½º ½Ã½ºÅÛÀÇ º¸¾ÈÀ» À§ÇØ ¹«¾ùÀ» ÇÒ °ÍÀΰ¡¸¦ ¾Ë·ÁÁØ´Ù.
¶ÇÇÑ ¾ÆÁ÷ ħÀÔÀ» ´çÇÏÁö ¾ÊÀº »óÅÂ¶óµµ ½Ã½ºÅÛ º¸¾ÈÁ¡°Ë¿¡ µµ¿òÀÌ µÈ´Ù.

1. ÇØÅ· ÇÇÇؽýºÅÛ ºÐ¼® ÀýÂ÷

°¡. ½Ã½ºÅÛ Ä§ÀÔÈçÀû Á¶»ç ¹æ¹ý  

Ưº°ÇÑ Àå¼Ò ¶Ç´Â ÇàÀ§·ÎºÎÅÍÀÇ Á¢¼Ó¿¡ ´ëÇÑ ·Î±×ÆÄÀÏÀ» Á¶»çÇÑ´Ù.
- last, syslog, ÇÁ·Î¼¼½º ·Î±×¿Í ±×¹Û¿¡ ´Ù¸¥ ·Î±×ÆÄÀÏÀ» Á¶»çÇÑ´Ù.
- access-log, xferlog µî ÁÖ¿ä¼­¹öÀÇ ·Î±×ÆÄÀÏÀ» Á¶»çÇÑ´Ù.
- ¹æÈ­º® ¶Ç´Â ¶ó¿ìÅÍ¿¡ ÀÇÇÑ ·Î±× ±â·ÏÀÌ ÀÖÀ» °æ¿ì Á¶»çÇÑ´Ù.
< À¯´Ð½º ±âº» ·Î±× ÆÄÀÏ >  ·Î±× ÆÄÀÏ   º¸À¯Á¤º¸  
/var/adm/messages ÄÜ¼Ö »ó¿¡ ÀÖ´Â Á¤º¸
/var/adm/utmp(x) ÇöÀç ·Î±×ÀÎÇÑ »ç¿ëÀÚ Á¤º¸
/var/adm/wtmp(x) »ç¿ëÀÚÀÇ ·Î±×ÀÎ, ·Î±×¾Æ¿ô, ½Ã½ºÅÛÀÇ shutdown, start up
/var/adm/lastlog »ç¿ëÀÚÀÇ ÃÖ±Ù ·Î±×ÀÎ °ü·ÃÁ¤º¸
/var/adm/acct »ç¿ëÀÚÀÇ command Á¤º¸


¿¹) ½Ã½ºÅÛ °ø°Ý¿¡ µû¸¥ °¢Á¾ ·Î±× ¿¹
imap/ipop °ø°Ý ·Î±× : messages ·Î±×ÆÄÀÏ
  
Dec 5 11:57:50 www ipop3d[933]: connect from xxx.xxx.124.104
Dec 5 11:57:54 www ipop3d[934]: connect from xxx.xxx.124.104
===========================================================
Jun 22 10:03:07 ns imapd[447]: command stream end of file, while reading  
line user=??? host=dialup187-2-45.xxx.xxx.xxx
Jun 15 15:10:40 ns imapd[14943]: Login failure  
user=^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
^P^P^P^P^P^P^P^P host=irv-ca48-32.xxx.xxx.xxx
  
mscan °ø°Ý ·Î±× : secure ·Î±×ÆÄÀÏ
Jun 27 20:49:29 ns in.telnetd[12918]: connect from xxx.xxx.50.76
Jun 15 03:39:28 ns imapd[14020]: connect from xxx.xxx.94.85
Jun 15 10:15:07 ns in.ftpd[14169]: connect from xxx.xxx.250.76
...
  
statd °ø°Ý ·Î±× : messages ·Î±×ÆÄÀÏ
May 9 07:08:14 hosim statd[191]: attempt to create "/var/statmon/sm//../../../../
../../../../../..//../../../../../../../../../../../../../../../../../../../../..
/../../../../../tmp/.nfs09 D H $ $ $ $ `
O * * * # # P *` c 6 )  
# # ; # XbinXsh tirdwr "
  
WWW °ü·Ã °ø°Ý ·Î±× : access-log ·Î±×ÆÄÀÏ
xxx.xxx.ter.net - - [27/Mar/1998:06:12:08 +0900] "GET /cgi-bin/phf?Qalias=x%0a
/bin/cat%20/etc/passwd HTTP/1.0" 200 7360
xxx.xxx.xxx- - [04/May/1998:04:17:38 +0900] "GET /cgi-bin/phf?Qalias=x%0a/bi
n/cat%20/etc/shadow HTTP/1.0" 200 92
xxx.xxx.xxx- - [08/Jun/1998:09:17:14 +0900] "POST /cgi-bin/phf?Qname=x%0a/bi
n/sh+-s%0a HTTP/1.0" 200 82
  
  
setuid, setgid ÆÄÀÏÀ» Á¶»çÇÑ´Ù.
- ħÀÔÀÚ´Â Á¾Á¾ ÃßÈÄ¿¡ ·çÆ®±ÇÇÑÀ¸·Î Á¢¼ÓÇϱâ À§ÇØ /bin/sh ¶Ç´Â /bin/time°ú °°Àº ¹éµµ¾î ÆÄÀÏÀ» ³²°ÜµÐ´Ù.
- ´ÙÀ½ÀÇ ¹æ¹ýÀ¸·Î setuid, setgid ÆÄÀÏÀ» ã´Â´Ù.
# find / -user root -perm -4000 -print
# find / -group kmem -perm -2000 -print
NFS/AFS ¸¶¿îÆ® ½Ã½ºÅÛ¿¡¼­´Â ´ÙÀ½°ú °°Àº ¸í·É¾î¸¦ ÀÌ¿ëÇÑ´Ù.
#find / -user root -perm -4000 -print -xdev
- setuid ÆÄÀÏÀ» ã´Â ´Ù¸¥ ¹æ¹ýÀ¸·Î °¢°¢ÀÇ ÆÄƼ¼Ç¿¡ ´ëÇØ Àû¿ëÇÏ´Â ncheck °¡ ÀÖ´Ù.
# ncheck -s /dev/rsd0g
½Ã½ºÅÛÀÇ ¹ÙÀ̳ʸ® ÆÄÀÏÀÇ º¯°æ ¿©ºÎ¸¦ Á¶»çÇÑ´Ù.
- ħÀÔÀÚ´Â /etc/inetd.conf °¡ ÂüÁ¶ÇÏ´Â ´ÙÀ½°ú °°Àº ÆÄÀϵéÀ» º¯°æÇÑ´Ù.
login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync µî
- ¹é¾÷µÈ Ãʱâ ÆÄÀÏ°ú ÇöÀçÀÇ ÆÄÀÏÀ» ºñ±³Çϱâ À§ÇÑ À¯´Ð½ºÀÇ sum ¸í·É¾î´Â Æ®·ÎÀ̸ñ¸¶ÇÁ·Î±×·¥¿¡ ÀÇÇØ ¹ÏÁö¸øÇÏ´Â °á°ú¸¦ ³ªÅ¸³¾ ¼ö ÀÖÀ¸¹Ç·Î ´ÙÀ½ ÇÁ·Î±×·¥À» »ç¿ëÇÑ´Ù.
cmp, MD5, Tripwire, ±âŸ ´Ù¸¥ ¾Ïȣȭ °Ë»ç À¯Æ¿¸®Æ¼µé
Àΰ¡¹ÞÁö ¾ÊÀº ÇÁ·Î±×·¥ ¹× ³×Æ®¿öÅ© ¸ð´ÏÅ͸µ ÇÁ·Î±×·¥ÀÇ »ç¿ëÀ» Á¶»çÇÑ´Ù.
- ħÀÔÀÚ´Â »ç¿ëÀÚÀÇ °èÁ¤°ú Æнº¿öµå Á¤º¸¸¦ ¾ò°Å³ª, ÀÚ½ÅÀÇ Á¸À縦 ¼û±â°Å³ª, ¶Ç ´Ù¸¥ ½Ã½ºÅÛÀ» °ø°ÝÇϱâ À§ÇØ ´Ù¾çÇÑ ÇÁ·Î±×·¥ ÇÇÇؽýºÅÛ¿¡ ¼³Ä¡ÇÏ¿© »ç¿ëÇÑ´Ù.
< ÀÚÁÖ ¹ß°ßµÇ´Â ÇØÅ· ÇÁ·Î±×·¥ >  ÇÁ·Î±×·¥¸í  ¼³¸í  
killinetd  : ¿ø°ÝÁö È£½ºÆ®ÀÇ inetd µ¥¸óÀ» ´Ù¿î½ÃÄѼ­ ³×Æ®¿öÅ©¼­ºñ½º ¹æÇØ
imap, imap2 imap µ¥¸ó ¿À¹öÇÃ·Î¿ì ¿ø°ÝÁö°ø°Ý ÇÁ·Î±×·¥
imapver  imap µ¥¸ó¹öÀüÀÇ ¿ø°ÝÁ¡°Ë ÇÁ·Î±×·¥
netcat ¹ü¿ë ³×Æ®¿öÅ© ÇØÅ·µµ±¸
brute.sh imap Ãë¾àÁ¡°ø°Ý½Ã »ç¿ëµÇ´Â º¸Á¶ ÇÁ·Î±×·¥
z0ne ƯÁ¤ µµ¸ÞÀÎÀÇ ¼ö¸¹Àº IP¸¦ ã¾Æ³»´Â ÇÁ·Î±×·¥
sniffer  ½º´ÏÆÛ ÇÁ·Î±×·¥
linux rootkit ¹éµµ¾î ¸ðÀ½(chfn, chsh, inetd, login, ls, du, ifconfig, netstat, passwd, ps, top, rshd, syslogd, tcpd µî)
phfscan phf.cgi Ãë¾àÁ¡ ½ºÄ³³Ê
phpscan php.cgi Ãë¾àÁ¡ ½ºÄ³³Ê
nmap  °¢Á¾ ±â´ÉÀ» Ãß°¡ÇÑ Æ÷Æ®½ºÄ³³Ê  
chkexploit linuxÀÇ °¢Á¾ ½Ã½ºÅÛ Ãë¾àÁ¡À» ã¾Æ³»´Â ½ºÄ³³Ê
eipscan network ·¹º§ÀÇ IP ½ºÄ³³Ê
ADMfindall network ·¹º§ÀÇ IP ½ºÄ³³Ê
lsp network ·¹º§ÀÇ Æ÷Æ®½ºÄ³³Ê
imapvun  imap Ãë¾àÁ¡ ½ºÄ³³Ê
imapd_scan.sh imap Ãë¾àÁ¡ ½ºÄ³³Ê
mscan imapd, ipopd, statdµî ¿©·¯ Ãë¾àÁ¡À» ã¾Æ³»´Â Ãë¾àÁ¡½ºÄ³³Ê
±âŸ  sirc, ipw, ircbnc, login, icat, ts2, tt, mendax, phf, s, sirc4, bcast3, bips, boink, bonk, bonk2, ck, fear, frag, jolt, killwin, land, nestea, newteardrop, ns, smurf, ssping, tear2, teardrop µî

cron°ú at.À¸·Î ¼öÇàµÇ´Â ¸ðµç ÆÄÀÏÀ» °Ë»çÇÑ´Ù.
- ħÀÔÀÚ´Â º¸Åë cron°ú at ¸í·ÉÀ¸·Î ¼öÇàµÇ´Â ÆÄÀϵ鿡 ¹éµµ¾î ÇÁ·Î±×·¥À» ³²°ÜµÐ´Ù. ±×·¯¹Ç·Î ÀÌ·¯ÇÑ ÇÁ·Î±×·¥À¸·Î ¼öÇàµÇ´Â ÆÄÀϵéÀ» ¾²±â±ÝÁö·Î ¼³Á¤ÇÑ´Ù.
  
Àΰ¡¹ÞÁö ¾ÊÀº ¼­ºñ½º¸¦ Á¶»çÇÑ´Ù.
- /etc/inetd.conf¸¦ Á¶»çÇÏ¿© Àΰ¡¹ÞÁö ¾ÊÀº Ãß°¡µÇ°Å³ª º¯°æµÈ ¼­ºñ½º¸¦ Á¶»çÇÑ´Ù. ƯÈ÷ ½©À» ¼öÇàÇÒ ¼ö ÀÖ´Â /bin/sh³ª /bin/csh¸¦ Á¶»çÇÑ´Ù.
  
/etc/passwd ÆÄÀÏÀ» Á¶»çÇÏ¿© º¯°æµÈ ºÎºÐÀÌ ÀÖ´ÂÁö È®ÀÎÇÑ´Ù.
- Ãß°¡µÈ °èÁ¤, Æнº¿öµåÀÇ »ý·«, uid(0·ÎÀÇ)ÀÇ º¯°æ¿©ºÎ¸¦ È®ÀÎÇÑ´Ù.
  
½Ã½ºÅÛ°ú ³×Æ®¿öÅ© ¼³Á¤ ÆÄÀÏÀÇ Àΰ¡¹ÞÁö ¾ÊÀº Ç׸ñÀ» Á¶»çÇÑ´Ù.
- /etc/hosts.equiv, /etc/hosts.lpd°ú ¸ðµç .rhosts ÆÄÀÏ¿¡ '+' Ç׸ñÀÌ ÀÖ´ÂÁö Á¶»çÇؼ­ Á¦°ÅÇÑ´Ù.
½Ã½ºÅÛ¿¡ ¼û°ÜÁö°Å³ª '.' À¸·Î ½ÃÀÛÇϴ ƯÀÌÇÑ ÆÄÀÏÀÌ ÀÖ´ÂÁö Á¶»çÇÑ´Ù.
- ls ¸í·É¾î·Î º¸ÀÌÁö ¾Ê´Â ÆÄÀÏÀ» Á¶»çÇÑ´Ù.
# find / -name ".. " -print -xdev
# find / -name ".*" -print -xdev | cat -v
ÀϹÝÀûÀ¸·Î '.xx' ÆÄÀÏÀ̳ª '.mail' ÆÄÀÏÀÌ Ä§ÀÔÀÚ¿¡ ÀÇÇØ ÀÌ¿ëµÈ´Ù.
Áö¿ª ³×Æ®¿öÅ©ÀÇ ¸ðµç ½Ã½ºÅÛÀ» Á¶»çÇÑ´Ù.

³ª. ħÀÔÀÚÀÇ Ãâ¹ßÁö ºÐ¼®

who, w : »ç¿ëÀÚ ¹× »ç¿ëÀÚÀÇ ÄÄÇ»ÅÍ È®ÀÎ
last : »ç¿ëÀÚµéÀÇ ·Î±×ÀÎ/·Î±×¾Æ¿ô ÀϽà ±â·Ï È®ÀÎ
lastcomm : »ç¿ëÀÚµéÀÇ ½Ã½ºÅÛ ¸í·É ¹× ÇÁ·Î¼¼½º ±â·Ï È®ÀÎ
netstat : ³×Æ®¿öÅ© Á¢¼Ó ÇöȲ È®ÀÎ
snmpnetstat : ³×Æ®¿öÅ©°ü¸® ½Ã½ºÅÛ¿¡¼­ÀÇ ÇöȲ
¶ó¿ìÅÍ Á¤º¸ : ¶ó¿ìÅÍÀÇ ¶ó¿ìÆà ¹× Á¢¼Ó µîÀÇ ÇöȲ È®ÀÎ
/var/adm/messages : ÀüÀÚ¿ìÆí ¼Û¼ö½Å ÇöȲ ±â·Ï È®ÀÎ(¸¹Àº ħÀÔÀÚµéÀÌ ÀÚ½ÅÀÇ ½Ã½ºÅÛÀ¸·Î ÀüÀÚ¿ìÆí ¼Û½Å)
syslog : ½Ã½ºÅÛ ·Î±× È®ÀÎ(´Ù¸¥ ½Ã½ºÅÛÀ¸·Îµµ ·Î±×¸¦ º¸³½´Ù)
wrapper ·Î±× : ¿ÜºÎ ½Ã½ºÅÛ Á¢¼Ó Â÷´Ü ÇÁ·Î±×·¥ÀÇ ¿¬°á
½Ã½ºÅÛÀÇ ¸ðµç »ç¿ëÀÚ¿¡°Ô finger¸¦ ÇÏ¿© ¾îµð¼­ ¿Ô´ÂÁö Á¡°Ë
* Âü°í : who, w, last, lastcommÀº /var/pacct, /usr/adm/wtmpÀÇ ±â·ÏÀ» º¸¿©Áִµ¥ ħÀÔÀÚµéÀº µÞ¹®(Backdoor Program)À» ÀÌ¿ëÇÏ¿© ÀÌ ·Î±×µéÀ» ¼öÁ¤ÇÏ¿© ÀÚ½ÅÀÇ ÈçÀûÀ» Áö¿ï ¼ö ÀÖ´Ù. ±×¸®°í ħÀÔÀÚ°¡ ¾ÆÁ÷ ÀÌ·± µÞ¹®ÀÌ ¾ø´ÙÇÏ´õ¶óµµ ¾ÆÁÖ ½±°Ô ÀÌ ·Î±×µéÀ» ¼öÁ¤Çϰųª Áö¿ï ¼ö ÀÖ´Ù. ÇÏÁö¸¸ °¡²û ħÀÔÀÚµéÀº ·Î±×¸¦ »èÁ¦ÇÏÁö ¾ÊÀ» ¼öµµ ÀÖÀ¸¸ç, ƯÈ÷ Ãß°¡ÀûÀÎ À¯´Ð½º ·Î±ë ÇÁ·Î±×·¥À» ¼³Ä¡ÇÑ °æ¿ì¿¡ ´õ¿í ±×·¸´Ù.

´Ù. xinetd³ª tcp_wrapper´Â ¿ÜºÎ¿¡¼­ÀÇ ¸ðµç Á¢¼Ó¿¡ ´ëÇØ ·Î±×¸¦ ³²±æ ¼ö ÀÖÀ¸¸ç, ħÀÔÀÚ°¡ ·Î±×¸¦ ¼öÁ¤Çϰųª Áö¿ï ¼ö ¾øµµ·Ï ÀÌ ·Î±×µéÀ» ´Ù¸¥ ½Ã½ºÅÛ¿¡ ¿Å°ÜµÎ´Â °ÍÀÌ ÁÁ´Ù. ÀûÀýÇÑ ´ëÃ¥À» ¼¼¿ì±â Àü¿¡ ħÀÔÀÚ°¡ ethernet sniffer·Î ´Ù¸¥ ½Ã½ºÅÛ¿¡ ¾î¶»°Ô ħÀÔÇÏ´ÂÁö¸¦ ¸ð´ÏÅ͸µÇÏ´Â °ÍÀÌ ÁÁ´Ù.

¶ó. ¿ÜºÎ·ÎºÎÅÍ Á¢¼ÓÇÏ´Â ½Ã½ºÅÛµéÀ» ¸·°í ƯÈ÷, ħÀÔÀÚÀÇ Á¢±ÙÀ» ¸·±â À§ÇØ ³×Æ®¿öÅ©¸¦ ÁßÁö½ÃŲ´Ù. ÇÏÁö¸¸ ¸¸¾à ħÀÔÀÚ°¡ ´«Ä¡Ã¦´Ù¸é ´ç½ÅÀÇ ½Ã½ºÅÛ¿¡¼­ "rm -rf /"¸¦ ½ÇÇàÇÏ¿© ¸ðµç Á¤º¸¸¦ Áö¿ï ¼öµµ ÀÖ´Ù.

¸¶. ½Ã½ºÅÛ ½ÇÇà ÆÄÀÏÀÇ º¯°æ À¯¹«¸¦ Á¡°ËÇϴµ¥, ƯÈ÷ µÞ¹®ÇÁ·Î±×·¥À¸·Î Àß ÀÌ¿ëµÇ´Â ´ÙÀ½ ÇÁ·Î±×·¥µéÀ» ÁßÁ¡ Á¡°ËÇÑ´Ù.
  

/bin/login
¸ðµç /usr/etc/in.* files (¿¹: in.telnetd)
/lib/libc.so.* (on Suns).
inetd¿¡¼­ È£ÃâµÇ´Â ¸ðµç °Í
±âŸ Àß ±³Ã¼µÇ´Â °ÍÀ¸·Î¼­´Â ´ÙÀ½°ú °°Àº °ÍÀÌ ÀÖ´Ù.
netstat : Á¤º¸¸¦ °¨Ãß°Ô ÇÑ´Ù
ps : ÇÁ·Î¼¼½º¸¦ °¨Ãß°Ô ÇÑ´Ù (¿¹: Crack)
ls : µð·ºÅ丮¸¦ °¨Ãá´Ù
ifconfig : ÀÌ´õ³Ý¿¡ ´ëÇÑ promiscuity mode ¸¦ °¨Ãá´Ù
sum : sumÀ» ¼öÁ¤ÇÏÁö ¾Ê°íµµ ½ÇÇàÆÄÀÏÀÇ Ã¼Å©½æÀ» ¿Ã¹Ù¸£°Ô À§Àå ÇÒ ¼ö ÀÖÀ¸¹Ç·Î ´õ ÀÌ»ó ±³Ã¼ÇÏÁö´Â ¾Ê´Â´Ù. µû¶ó¼­ sum°ªÀ» ¹Ï¾î¼­´Â ¾ÈµÈ´Ù.
ÆÄÀÏÀÇ ½ÇÁ¦ ¼öÁ¤ ½Ã°£À» ¾Ë±â À§Çؼ­´Â "ls -lac"¸¦ »ç¿ëÇÑ´Ù. /etc/wtmp¸¦ Á¡°ËÇÏ¿© ½Ã½ºÅÛ ½Ã°£À» ¾Ë¾Æ³»°í CD³ª Å×ÀÌÇÁÀÇ ¿øº»°ú ºñ±³Çϰųª MD5 üũ½æÀÌ ÀÌÀüÀÇ Ã¼Å©½æ°ú ´Ù¸¥Áö ºñ±³Çϸç, ÈçÈ÷ off-lineÀ¸·Î ÀúÀåµÈ ¹Ì¸® ¸¸µé¾îÁø üũ½æ°ú cmp ¸í·ÉÀ¸·Î ºñ±³ÇÑ´Ù. ¶Ç ÈçÈ÷ »ç¿ëµÇ´Â µÞ¹®À¸·Î¼­ /bin/time°ú °°Àº setuid ÇÁ·Î±×·¥Àε¥, À̵éÀº ÀÏ¹Ý »ç¿ëÀÚ°¡ root·Î ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. ÀÌ·± ÇÁ·Î±×·¥À» ã±â À§Çؼ­´Â ´ÙÀ½ ¸í·ÉÀ» ÀÌ¿ëÇÏ¸é µÈ´Ù.
  
find / -type f -perm -4000 -ls

ÇÏ´Ùº¸¸é OS Àüü¸¦ ´Ù½Ã ¼³Ä¡ÇؾߵÉÁöµµ ¸ð¸¥´Ù. Tripwire º¸¾Èµµ±¸´Â °ü¸®ÀÚ ¸ô·¡ ½ÇÇàÆÄÀÏÀ» ¼öÁ¤Çϰųª inetd.conf¿Í °°Àº ½Ã½ºÅÛÆÄÀÏÀÇ ¼öÁ¤À» ¹ß°ßÇÒ ¼ö ÀÖµµ·Ï µµ¿ÍÁØ´Ù.

¹Ù. ¸ðµç »ç¿ëÀÚÀÇ .rhosts, .forward µîÀ» Á¡°ËÇÑ´Ù. ¸¸¾à .rhosts°¡ "+"¸¦ °¡Áö°í ÀÖÀ¸¸é ¾î¶²ÇÑ ½Ã½ºÅÛ¿¡¼­µµ Æнº¿öµå üũ ¾øÀÌÁ¢±ÙÇÒ ¼ö ÀÖ´Ù. COPS´Â ´ÙÀ½ °ú °°Àº üŷ ½ºÅ©¸³Æ®¸¦ °¡Áö°í ÀÖ´Ù.
  

find / -name .rhosts -ls -o -name .forward -ls

Àǽɽº·¯¿î ¸ðµç ÆÄÀÏÀÇ »ý¼º ¹× ¼öÁ¤ ½Ã°£À» Á¡°ËÇϴµ¥ ´ÙÀ½À» ÀÌ¿ëÇÑ´Ù.

find / -ctime -2 -ctime +1 -ls

ÀÌ°ÍÀº ÀÌƲÀü ¿¡¼­ ÇÏ·ç ÀÌÈÄ ¿¡ ¼öÁ¤µÈ ÆÄÀÏÀ» ã¾ÆÁØ´Ù.

¸ðµç .login, .logout, .profile, .cshrc µéµµ Àû¾îµµ ¼öÁ¤ÀÏ ¹× ½Ã°£ µîÀ» Á¡°Ë Çϸç, .rhosts ÆÄÀÏÀÌ Àá±ÅÁø °ÍÀº ¾ø´ÂÁö, news, sundiag, sync µîÀÇ °èÁ¤¿¡ ´ëÇÑ ½©ÀÌ º¸´Ù ¾ÈÀüÀ» À§ÇØ "/bin/false"·Î µÇ¾î ÀÖ¾î¾ß Çϸç "/bin/sh" µîÀ¸·Î µÇ¾î À־´Â ¾ÈµÈ´Ù. ¶ÇÇÑ ". ", ".. " µîÀÇ µð·ºÅ丮°¡ ¾ø´ÂÁö Á¡°ËÇϴµ¥ ´ëºÎºÐ /tmp,/var/tmp, /usr/spool/* ³ª °ø°³ÀûÀ¸·Î ¾²±â ÇÒ ¼ö ÀÖ´Â µð·ºÅ丮¿¡¼­ ¸¹ÀÌ ¹ß°ßµÈ´Ù.

»ç. NFS°¡ ¿ÜºÎ¿¡ ³Î¸® °ø°³µÈ°ÍÀº ¾Æ´ÑÁö Á¡°ËÇÑ´Ù.

NFSwatch´Â NFSÆ®·£Àè¼Ç¿¡ ´ëÇØ ·Î±×¸¦ ¸¸µé¾îÁÖ¸ç, "showmount -e" ¸¦ ÇÏ¿© ¿Ã¹Ù¸¥ NFS ±¸¼ºÀ» Á¡°ËÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù. 256 ¹ÙÀÌÆ®¸¦ ³Ñ±ä °æ¿ì¿¡ nfsd´Â ¹ö±×¸¦ °¡Áö°í ÀÖÀ¸¸ç, ¶ÇÇÑ ´ç½ÅÀÌ ¸¶¿îÆ®ÇÏ°í ÀÖ´Â ½Ã½ºÅÛ¿¡ ´ëÇÑ Á¡°Ëµµ Áß¿äÇÏ´Ù. °¡´ÉÇÑ "nosuid"Ç÷¡±×¸¦ »ç¿ëÇÑ´Ù.

¾Æ. ½Ã½ºÅÛÀÌ Ãë¾àÁ¡ÀÌ ÀÖ´ÂÁö Á¡°ËÇÏ´Â ¸®½ºÆ®
  

¿øÇÏÁö ¾ÊÀº ÇÁ·Î¼¼½º°¡ ¾ø´ÂÁö, "rpcinfo -p"¸¦ ÀÌ¿ëÇÏ¿© Á¡°ËÇÑ´Ù.
hosts.equiv ¿¡ "+" °¡ ¾ø´ÂÁö Á¡°ËÇÑ´Ù.
tftp¸¦ »ç¿ëÇÏÁö ¾Êµç°¡, »ç¿ëÇϱ⸦ ¿øÇÑ´Ù¸é "-s" Ç÷¡±×¸¦ »ç¿ëÇÑ´Ù.
ÀÌ °æ¿ì´Â ´ëºÎºÐ µð½ºÅ©¾ø´Â ¿öÅ©½ºÅ×À̼ÇÀ» À§ÇÑ °æ¿ìÀε¥, ÀûÀýÇÏ°Ô NFS¸¦ ÀÌ¿ëÇÒ ¼öµµ ÀÖ´Ù. ÀÌ°ÍÀ» root ·Î ½ÇÇàÇÏÁö ¾Êµµ·Ï Çϸç, /etc/inetd.conf¿¡¼­ ´ÙÀ½°ú °°ÀÌ ¹Ù²Û´Ù.
  
tftp dgram udp wait nobody /usr/etc/in.tftpd in.tftpd -s /tftpboot
ȤÀº ¿øÄ¡ ¾Ê´Â °÷¿¡¼­ÀÇ Á¢±ÙÀ» ¸·±â À§ÇØ tcp_wrapper¿¡¼­ tftpd¿¡ÇÑ ºÎºÐÀ» °íÄ¡°í ¸ðµç Á¢¼Ó »óȲÀ» ·Î±×·Î ³²±ä´Ù.
  
tftp dgram udp wait nobody /usr/etc/tcpd in.tftpd -s /tftpboot
ȤÀº /etc/hosts.allow¿¡¼­ Á¤ÀÇµÈ °÷¿¡¼­¸¸ Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï Á¶Á¤ÇÑ´Ù.
crontab°ú at-vobs ¸¦ Á¡°ËÇÑ´Ù. ħÀÔÀÚ°¡ ³²±ä ¸ðµç °ÍÀ» Á¤¸®Çß´Ù°í »ý°¢ÇÑ ÈÄ ÀÌ°ÍÀÌ ¾î¶² ÀÛ¾÷À» ÇÒ ¼ö ÀÖ´Ù.
rc.boot, rc.local(SYSV : /etc/rc?.d/*)³ª ±âŸ ½Ã½ºÅÛ ½ÃÀ۽à ½ÇÇà ÆÄÀϵéÀ» Á¡°ËÇÑ´Ù. °¡Àå ÁÁÀº ¹æ¹ýÀº off-lineÀ¸·Î ÀúÀåÇß´Ù°¡ ÁÖ±âÀûÀ¸·Î Á¡°ËÇÏ´Â °ÍÀ̸ç, sendmail.cf, hosts.allow, at.allow, at.deny, cron.allow, hosts, hosts.lpd µîÀÇ ½Ã½ºÅÛ ±¸¼ºÆÄÀϵéÀ» Á¡°ËÇÑ´Ù. "aliases"´Â ¸ÞÀÏ È®ÀåÀ» À§ÇÑ °ÍÀε¥, "uudecode" µî°ú °°Àº °ÍÀ» °¡Áö°í ÀÖÀ» ¼ö ÀÖ´Ù.
inetd.conf ¿Í /etc/services ÆÄÀÏ¿¡¼­ ħÀÔÀÚ°¡ Ãß°¡ÇÑ ºÒ¹ý ÇÁ·Î±×·¥ ¼­ºñ½º°¡ ÀÖ´Â Áö Á¡°ËÇÑ´Ù.
ÇöÀç °¡Áö°í ÀÖ´Â ¸ðµç ·Î±× ÆÄÀÏ(pacct, wtmp, lastlog, sulog, syslog, authlog µî)µéÀ» ´Ù¸¥ ¾ÈÀüÇÑ °÷À¸·Î ¿Å±ä´Ù. /tmp/* ÆÄÀϵéÀ» ¸ÕÀú »ìÆì º» ÈÄ Àç½Ãµ¿(Reboot) ÇÑ´Ù.
/etc/passwd ÆÄÀÏÀÇ ¿©¹úÆÄÀÏÀ» °¡´ÉÇÑ µð½ºÄÏ µîÀ¸·Î ÀúÀåÇÑ ÈÄ su ¹× passwd ÇÁ·Î±×·¥ÀÌ µÞ¹®(Backdoor) °¡ ¾Æ´ÔÀ» È®ÀÎÇÑ ÈÄ root Æнº¿öµå¸¦ ¹Ù²Û´Ù. ¸¸¾à ħÀÔÀÚ°¡ su ³ª passwd µÞ¹®À» ¼³Ä¡ÇÏ¿´´Ù¸é /etc/passwd ÆÄÀÏÀÇ Æнº¿öµå ºÎºÐÀ» ¸ðµÎ "*"·Î ¹Ù²Û´Ù. ¶ÇÇÑ Ä§ÀÔÀÚ°¡ Æнº¿öµå ÆÄÀÏÀ» °¡Áö°í ÀÖ´Ù¸é ¸ðµç »ç¿ëÀÚµéÀÇ Æнº¿öµå¸¦ ¾Ë¾Æ³¾ °¡´É¼ºÀÌ ÀÖÀ¸¸ç, Àå±â°£ »ç¿ëÇÏÁö ¾Ê´Â »ç¿ëÀÚÀÇ Æнº¿öµå¸¦ ¹Ù²Ü ¼ö µµ ÀÖ´Ù.
NIS¼­¹ö¿¡¼­´Â ´Ü¼øÈ÷ /etc/passwd »Ó ¾Æ´Ï¶ó NIS ¸Ê¿¡ ÇØ ´çÇÏ´Â °Íµéµµ Á¡°ËÇØ¾ß ÇÑ´Ù.
À͸íFTP³ª ´Ù¸¥ ³×Æ®¿öÅ© ¼­ºñ½º ½Ã½ºÅÛµéÀÌ ÀûÀýÇÏ°Ô ±¸¼ºµÇ¾î ÀÖ´ÂÁö Á¡°ËÇÑ´Ù.
inetd¸¦ ´Ù½Ã ¼³Ä¡ÇÑ´Ù.
ÄÜ¼Ö ¸¸ÀÌ "secure" ´Ü¸»·Î Á¤ÀÇÇÏ¿© ´Ù¸¥ ´Ü¸»¿¡¼­ root ·Î ·Î±×ÀÎÇÒ ¼ö ¾øµµ·Ï ÇÑ´Ù.
hosts.equiv, .rhosts, hosts.lpd ¿¡ "#" ÀÌ ÀÖ´ÂÁö Á¡°ËÇÑ´Ù. ¸¸¾à ħÀÔÀÚ°¡ "#" À» ±â°èÀ̸§À¸·Î Á¤ÀÇÇÏ¿´´Ù¸é ´©±¸³ª ½Å·ÚÇϴ ȣ½ºÆ®·Î Á¤ÀǵȴÙ.

  Hit : 21820     Date : 2003/09/21 12:16



    
indra ÀÌ°Å.. certcc ÀÇ ÀÌÇö¿ì¾¾°¡ ½è´ø°ÍÀ¸·Î ¾Ë°í Àִµ¥¿ä.. ¿øÀÛÀÚ Ç¥±â¸¦ ÇØÁÖ¼ÌÀ¸¸é ÇÕ´Ï´Ù.. 2003/09/23  
yoonkh2000 Àü¼Û 2003/10/01  
k_sec ¿Í ±×·¨±º¿ä.....¾ÆÁÖ ÁÁÀº³»¿ëÀ̳׿ä.. 2003/10/18
jinho4944 ÆÄÀÏ»èÁ¦ 2003/12/19  
#include - -; °£´ÜÇÏÁö¾Ê³ª.. ±×³É »ç¿ëÀÚ Ã£¾Æ¼­ ÀüºÎ űÇعö¸®°í ¸·¾ÆµÐÈÄ ÆÄÀϺ¹¿øÈÄ ipÃßÀû - - 2004/03/24
fgir306 ³­ Å©·¢´çÇÒÀÏÀÌ ¾ø¾î.¤» 2006/01/12  
kim0237 ÀÌ°Ô °£´Ü;; ³­ ¿ÖÀ̸® ¾î·Á¿ö º¸À̳׿ä 2006/06/19  
kjund1 º¹ÀâÇØ .. ¤Ð 2007/10/13  
wop1318 ¸ðµçÆÄÀÏ»èÁ¦ ¤£ 2008/01/01  
     [°øÁö] °­Á¸¦ ¿Ã¸®½Ç ¶§´Â ¸»¸Ó¸®¸¦ ´Þ¾ÆÁÖ¼¼¿ä^¤Ñ^ [29] ¸Û¸Û 02/27 19480
1596   [pwnable.kr] bof     ÇØÅ·ÀßÇÏ°í½Í´Ù
12/25 12
1595   [pwnable.kr] Shellshock[1]     ÇØÅ·ÀßÇÏ°í½Í´Ù
11/23 127
1594   ShellshockÀÇ ±âº» ¿ä¾à     ÇØÅ·ÀßÇÏ°í½Í´Ù
11/23 109
1593   [pwnable.kr] fd     ÇØÅ·ÀßÇÏ°í½Í´Ù
11/23 104
1592   VPNÀÌ ¿¬°áµÇ¾ú´Ù°¡ µµÁß¿¡ ²¨µµ À¥ ºê¶ó¿ìÀú»ó¿¡¼­ À¯ÁöµÇ´Â ÀÌÀ¯     ÇØÅ·ÀßÇÏ°í½Í´Ù
11/22 111
1591   ÇØÄ¿µéÀÌ ÇØÅ·½Ã »ç¿ëÇÏ´Â µð·ºÅ丮 °ø°£[1]     ÇØÅ·ÀßÇÏ°í½Í´Ù
11/22 150
1590   Keyboard Hooking -part2 - (Python3 ver)     ÇØÅ·ÀßÇÏ°í½Í´Ù
11/20 128
1589   [Windows API] Keyboard Hooking     ÇØÅ·ÀßÇÏ°í½Í´Ù
11/20 104
1588   [pwnable.kr] cmd1 °ø·«     ÇØÅ·ÀßÇÏ°í½Í´Ù
10/23 265
1587   netdiscover ÆÄÀ̽ãÀ¸·Î ±¸ÇöÇϱ⠠   ÇØÅ·ÀßÇÏ°í½Í´Ù
08/13 543
1586   ÆÄÀ̽ãÀ» ÀÌ¿ëÇÑ ½ÉÇà À¥ Å©·Ñ·¯     ÇØÅ·ÀßÇÏ°í½Í´Ù
08/13 431
1585   ÆÄÀ̽ã random¸ðµâÀ» ÀÌ¿ëÇÑ ¼ýÀÚ¸ÂÃ߱⠰ÔÀÓ ±¸Çö     ÇØÅ·ÀßÇÏ°í½Í´Ù
05/30 985
1584   ÆÄÀ̽ã äÆà ÇÁ·Î±×·¥ ±¸Çö     ÇØÅ·ÀßÇÏ°í½Í´Ù
05/28 876
1583   ÆÄÀ̽㠼ÒÄÏ ÇÁ·Î±×·¡¹ÖÀÇ ±âÃÊ     ÇØÅ·ÀßÇÏ°í½Í´Ù
05/26 1027
1582   ¸®´ª½º À¥ ·Î±× ºÐ¼®     ÇØÅ·ÀßÇÏ°í½Í´Ù
05/20 693
1581   ¸®´ª½º/À©µµ¿ì º¸¾È Àåºñ ·Î±×     ÇØÅ·ÀßÇÏ°í½Í´Ù
05/20 840
1580   °í¼ö´ÔµéÀÇ µµ¿òÀ» ¹Þ°í ½Í½À´Ï´Ù     vbnm111
02/11 930
1579   ¸®´ª½º Ä¿³Î 2.6 ¹öÀü ÀÌÈÄÀÇ LKM     jdo
07/25 1445
1578   ½©ÄÚµå ¸ðÀ½     ÇØÅ·ÀßÇÏ°í½Í´Ù
01/15 2328
1 [2][3][4][5][6][7][8][9][10]..[80]

Copyright 1999-2024 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org