SlideShare a Scribd company logo

Ddd

Download as PPTX, PDF
D
dooroomi

ddd

1 of 15
CLS Presentation
특정날짜에 설치된 해킹프로그램 검출 문제 -문제- Solaris시스템(13.155.33.234)을 관리하던 중 H보안회사(233.235.231.233)로부터 다음과 같은 항의메일을 받았다. <당신의 컴퓨터로부터 주기적인 해킹시도가 있으므로 다음 로그를 참고하여 시스템을 보안조치해달라.> 시스템을 점검하여 해커가 설치한 해킹프로그램을 삭제하시오.참고로 이 시스템이 셋업된 날짜는 2001년 10월1일이며, H사로부터 보내온 로그파일은 다음과 같다. Oct 26 18:07:45 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234 Oct 26 18:08:14 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234
특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- touch -t 200110020000 1.txt 로2001년10월2일 00시에 생성된 1.txt 생성
특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- touch -t 200110262359 2.txt 2001년10월26일 23시 59분에 생성된 2.txt 생성
특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- # find / -newer 1.txt -a ! -newer 2.txt -ls | greprpc로1과 2의 생성기간 사이의 파일을 검색한다.
특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- # rm명령어로 해킹파일을 종료한다.
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제- 피해시스템을 분석하던 관리자는 /dev 디렉토리에서 침입자가 심어놓은 것으로 추정되는 파일을 발견했다. 이는 침입자의 악의적인 프로세스를 숨기기 위한 파일로 보이며 관리자는 이 파일을 찾아서 삭제하여야 한다. 그리고 이 파일을 사용하고 있는 프로세스가 있는지 확인하고 만약 존재한다면 그 프로세스를 종료시키시오.
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -PTYP, PTYQ- PTYP? PTYQ? Ptyp와 ptyq는 /dev 에 위치해 있으며 ps나 netstat에서프로세스 이름이나 ip주소 pid등을 숨길 수 있다.
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -학습목표- -ptyp, ptyq의 개념을 안다. -LSOF을 잘 구사할 수 있다.
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -LSOF-
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Cd /dev 로 /dev로 이동한다.
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Cat ptyp, cat ptyq로 숨겨진 프로세스등의 정보를 얻는다.
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Lsof –c bconn로 bconn가 실행 중인지 확인한다.
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Kill -9 pid로 프로세스를 종료한다.
시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Kill -9 pid로 프로세스를 종료한다.

Recommended

PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]Sehan Lee
 
SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)
SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)
SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)Sehan Lee
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUp
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUpBSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUp
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUpSehan Lee
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
Mr.Robot CTF Write-Up (Korean version)
Mr.Robot CTF Write-Up (Korean version)Mr.Robot CTF Write-Up (Korean version)
Mr.Robot CTF Write-Up (Korean version)Sehan Lee
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file formatYoungjun Chang
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응Youngjun Chang
 

Recommended

PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]Sehan Lee
 
SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)
SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)
SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)Sehan Lee
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUp
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUpBSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUp
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUpSehan Lee
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
Mr.Robot CTF Write-Up (Korean version)
Mr.Robot CTF Write-Up (Korean version)Mr.Robot CTF Write-Up (Korean version)
Mr.Robot CTF Write-Up (Korean version)Sehan Lee
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file formatYoungjun Chang
 
3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응3.ahn report를 이용한 악성코드 대응
3.ahn report를 이용한 악성코드 대응Youngjun Chang
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkitYoungjun Chang
 
국민대학교 고급 시스템 프로젝트 #1
국민대학교 고급 시스템 프로젝트 #1국민대학교 고급 시스템 프로젝트 #1
국민대학교 고급 시스템 프로젝트 #1dldmsmchddldmschd
 
우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기Hoyoung Jung
 
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은jieun kim
 
Make fast file merge program using c
Make fast file merge program using cMake fast file merge program using c
Make fast file merge program using cDong Kyu Lee
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
Filemerge성능분석
Filemerge성능분석Filemerge성능분석
Filemerge성능분석선 유
 
Wiki academy sysadmin 8_day
Wiki academy sysadmin 8_dayWiki academy sysadmin 8_day
Wiki academy sysadmin 8_dayJo Hoon
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversingYoungjun Chang
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론Youngjun Chang
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
Linux tutorial
Linux tutorialLinux tutorial
Linux tutorialHyun-hwan Jeong
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법INSIGHT FORENSIC
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profileINSIGHT FORENSIC
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?plainbit
 
(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
IoT with Raspberry Pi + Node JS - Chapter 1
IoT with Raspberry Pi + Node JS - Chapter 1IoT with Raspberry Pi + Node JS - Chapter 1
IoT with Raspberry Pi + Node JS - Chapter 1Park Jonggun
 

More Related Content

What's hot

3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkitYoungjun Chang
 
국민대학교 고급 시스템 프로젝트 #1
국민대학교 고급 시스템 프로젝트 #1국민대학교 고급 시스템 프로젝트 #1
국민대학교 고급 시스템 프로젝트 #1dldmsmchddldmschd
 
우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기Hoyoung Jung
 
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은jieun kim
 
Make fast file merge program using c
Make fast file merge program using cMake fast file merge program using c
Make fast file merge program using cDong Kyu Lee
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
Filemerge성능분석
Filemerge성능분석Filemerge성능분석
Filemerge성능분석선 유
 
Wiki academy sysadmin 8_day
Wiki academy sysadmin 8_dayWiki academy sysadmin 8_day
Wiki academy sysadmin 8_dayJo Hoon
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversingYoungjun Chang
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론Youngjun Chang
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법INSIGHT FORENSIC
 

What's hot (15)

3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
 
국민대학교 고급 시스템 프로젝트 #1
국민대학교 고급 시스템 프로젝트 #1국민대학교 고급 시스템 프로젝트 #1
국민대학교 고급 시스템 프로젝트 #1
 
우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기우분투에 시스템콜 추가하기
우분투에 시스템콜 추가하기
 
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은
20150509 unix v6로 배우는 커널의 원리와 구조 3 김지은
 
Make fast file merge program using c
Make fast file merge program using cMake fast file merge program using c
Make fast file merge program using c
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
Filemerge성능분석
Filemerge성능분석Filemerge성능분석
Filemerge성능분석
 
Wiki academy sysadmin 8_day
Wiki academy sysadmin 8_dayWiki academy sysadmin 8_day
Wiki academy sysadmin 8_day
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
Linux tutorial
Linux tutorialLinux tutorial
Linux tutorial
 
(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법(Fios#03) 4. 파워셸 포렌식 조사 기법
(Fios#03) 4. 파워셸 포렌식 조사 기법
 

Similar to Ddd

악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profileINSIGHT FORENSIC
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?plainbit
 
(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
IoT with Raspberry Pi + Node JS - Chapter 1
IoT with Raspberry Pi + Node JS - Chapter 1IoT with Raspberry Pi + Node JS - Chapter 1
IoT with Raspberry Pi + Node JS - Chapter 1Park Jonggun
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석INSIGHT FORENSIC
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라INSIGHT FORENSIC
 
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중ymtech
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구Youngjun Chang
 
(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows passwordINSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응Youngjun Chang
 
실무로 배우는 시스템 성능 최적화 Ch8
실무로 배우는 시스템 성능 최적화 Ch8실무로 배우는 시스템 성능 최적화 Ch8
실무로 배우는 시스템 성능 최적화 Ch8HyeonSeok Choi
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기INSIGHT FORENSIC
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구Youngjun Chang
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig baseINSIGHT FORENSIC
 

Similar to Ddd (20)

악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
 
(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
 
IoT with Raspberry Pi + Node JS - Chapter 1
IoT with Raspberry Pi + Node JS - Chapter 1IoT with Raspberry Pi + Node JS - Chapter 1
IoT with Raspberry Pi + Node JS - Chapter 1
 
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
(Fios#03) 1. 실전 윈도 악성코드 메모리 분석
 
(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
20170908 tech day-9th-재미없는 java runtime process 디버그-김성중
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
 
(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password(130622) #fitalk the stealing windows password
(130622) #fitalk the stealing windows password
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
실무로 배우는 시스템 성능 최적화 Ch8
실무로 배우는 시스템 성능 최적화 Ch8실무로 배우는 시스템 성능 최적화 Ch8
실무로 배우는 시스템 성능 최적화 Ch8
 
(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기(Fios#02) 1. 랜섬웨어 연대기
(Fios#02) 1. 랜섬웨어 연대기
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
 
Kafka slideshare
Kafka slideshareKafka slideshare
Kafka slideshare
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 

Ddd

  • 2. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제- Solaris시스템(13.155.33.234)을 관리하던 중 H보안회사(233.235.231.233)로부터 다음과 같은 항의메일을 받았다. <당신의 컴퓨터로부터 주기적인 해킹시도가 있으므로 다음 로그를 참고하여 시스템을 보안조치해달라.> 시스템을 점검하여 해커가 설치한 해킹프로그램을 삭제하시오.참고로 이 시스템이 셋업된 날짜는 2001년 10월1일이며, H사로부터 보내온 로그파일은 다음과 같다. Oct 26 18:07:45 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234 Oct 26 18:08:14 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234
  • 3. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- touch -t 200110020000 1.txt 로2001년10월2일 00시에 생성된 1.txt 생성
  • 4. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- touch -t 200110262359 2.txt 2001년10월26일 23시 59분에 생성된 2.txt 생성
  • 5. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- # find / -newer 1.txt -a ! -newer 2.txt -ls | greprpc로1과 2의 생성기간 사이의 파일을 검색한다.
  • 6. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- # rm명령어로 해킹파일을 종료한다.
  • 7. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제- 피해시스템을 분석하던 관리자는 /dev 디렉토리에서 침입자가 심어놓은 것으로 추정되는 파일을 발견했다. 이는 침입자의 악의적인 프로세스를 숨기기 위한 파일로 보이며 관리자는 이 파일을 찾아서 삭제하여야 한다. 그리고 이 파일을 사용하고 있는 프로세스가 있는지 확인하고 만약 존재한다면 그 프로세스를 종료시키시오.
  • 8. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -PTYP, PTYQ- PTYP? PTYQ? Ptyp와 ptyq는 /dev 에 위치해 있으며 ps나 netstat에서프로세스 이름이나 ip주소 pid등을 숨길 수 있다.
  • 9. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -학습목표- -ptyp, ptyq의 개념을 안다. -LSOF을 잘 구사할 수 있다.
  • 10. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -LSOF-
  • 11. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Cd /dev 로 /dev로 이동한다.
  • 12. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Cat ptyp, cat ptyq로 숨겨진 프로세스등의 정보를 얻는다.
  • 13. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Lsof –c bconn로 bconn가 실행 중인지 확인한다.
  • 14. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Kill -9 pid로 프로세스를 종료한다.
  • 15. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제풀이- Kill -9 pid로 프로세스를 종료한다.