2. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제- Solaris시스템(13.155.33.234)을 관리하던 중 H보안회사(233.235.231.233)로부터 다음과 같은 항의메일을 받았다. <당신의 컴퓨터로부터 주기적인 해킹시도가 있으므로 다음 로그를 참고하여 시스템을 보안조치해달라.> 시스템을 점검하여 해커가 설치한 해킹프로그램을 삭제하시오.참고로 이 시스템이 셋업된 날짜는 2001년 10월1일이며, H사로부터 보내온 로그파일은 다음과 같다. Oct 26 18:07:45 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234 Oct 26 18:08:14 233.235.231.233 rpc.statd[189]: gethostbyname format string attack from 13.155.33.234
3. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- touch -t 200110020000 1.txt 로2001년10월2일 00시에 생성된 1.txt 생성
4. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- touch -t 200110262359 2.txt 2001년10월26일 23시 59분에 생성된 2.txt 생성
5. 특정날짜에 설치된 해킹프로그램 검출 문제 -문제풀이- # find / -newer 1.txt -a ! -newer 2.txt -ls | greprpc로1과 2의 생성기간 사이의 파일을 검색한다.
7. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -문제- 피해시스템을 분석하던 관리자는 /dev 디렉토리에서 침입자가 심어놓은 것으로 추정되는 파일을 발견했다. 이는 침입자의 악의적인 프로세스를 숨기기 위한 파일로 보이며 관리자는 이 파일을 찾아서 삭제하여야 한다. 그리고 이 파일을 사용하고 있는 프로세스가 있는지 확인하고 만약 존재한다면 그 프로세스를 종료시키시오.
8. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -PTYP, PTYQ- PTYP? PTYQ? Ptyp와 ptyq는 /dev 에 위치해 있으며 ps나 netstat에서프로세스 이름이나 ip주소 pid등을 숨길 수 있다.
9. 시스템상의 특정 파일을 사용하는 불필요한 프로세스 제거 -학습목표- -ptyp, ptyq의 개념을 안다. -LSOF을 잘 구사할 수 있다.