기억하자정보/기타
[관리방어] 8. checksum값을 이용한 백도어 검출 문제
LANIAN
2006. 10. 10. 19:46
문제
Solaris시스템에 해커가 침입하여 root 권한을 빼앗기는 보안사고가 발생하였다. 해커가 침입을 한 상태에서 설치한 백도어를 찾아내야 한다. 그런데 이번 해킹패턴을 보면 /usr/sbin/ 디렉토리 있는 네트웍서비스 프로그램중에 하나가 백도어로 바뀐것으로 강하게 의심된다. 다행히도 해킹사고가 발생하기 이전에 /backup/usr/sbin 이라는 디렉토리를 만들어서 원본파일들을 이미 복사해 놓았다. 원본파일과 비교하여 백도어 프로그램을 찾아내시오. (찾아낸 후에 정답확인 프로그램을 실행하여 백도어 프로그램 파일명을 입력하시오).
풀이
#diff /usr/sbin /backup/usr/sbin
diff: /usr/sbin/asppp2pppd: 사용 권한이 거부됨
이진 파일 /usr/sbin/in.fingerd와(과) /backup/usr/sbin/in.fingerd이(가) 다릅니다
공통 하위 디렉토리: /usr/sbin/install.d 및 /backup/usr/sbin/install.d
/usr/sbin에서만: john
diff: /usr/sbin/lpmove: 사용 권한이 거부됨
diff: /usr/sbin/mipagentconfig: 사용 권한이 거부됨
/usr/sbin에서만: rndd
diff: /usr/sbin/sadmind: 사용 권한이 거부됨
diff: /usr/sbin/smc: 해당 파일이나 디렉토리가 없음
공통 하위 디렉토리: /usr/sbin/sparcv7 및 /backup/usr/sbin/sparcv7
공통 하위 디렉토리: /usr/sbin/sparcv9 및 /backup/usr/sbin/sparcv9
공통 하위 디렉토리: /usr/sbin/static 및 /backup/usr/sbin/static
diff: /usr/sbin/swmtool: 사용 권한이 거부됨
diff: /usr/sbin/sysidconfig: 사용 권한이 거부됨
diff: /usr/sbin/sysidkrb5: 사용 권한이 거부됨
diff: /usr/sbin/sysidnet: 사용 권한이 거부됨
diff: /usr/sbin/sysidns: 사용 권한이 거부됨
diff: /usr/sbin/sysidroot: 사용 권한이 거부됨
diff: /usr/sbin/sysidsys: 사용 권한이 거부됨
#finish
Enter hacked file path >/usr/sbin/in.fingerd
Solaris시스템에 해커가 침입하여 root 권한을 빼앗기는 보안사고가 발생하였다. 해커가 침입을 한 상태에서 설치한 백도어를 찾아내야 한다. 그런데 이번 해킹패턴을 보면 /usr/sbin/ 디렉토리 있는 네트웍서비스 프로그램중에 하나가 백도어로 바뀐것으로 강하게 의심된다. 다행히도 해킹사고가 발생하기 이전에 /backup/usr/sbin 이라는 디렉토리를 만들어서 원본파일들을 이미 복사해 놓았다. 원본파일과 비교하여 백도어 프로그램을 찾아내시오. (찾아낸 후에 정답확인 프로그램을 실행하여 백도어 프로그램 파일명을 입력하시오).
invalid-file풀이
#diff /usr/sbin /backup/usr/sbin
diff: /usr/sbin/asppp2pppd: 사용 권한이 거부됨
이진 파일 /usr/sbin/in.fingerd와(과) /backup/usr/sbin/in.fingerd이(가) 다릅니다
공통 하위 디렉토리: /usr/sbin/install.d 및 /backup/usr/sbin/install.d
/usr/sbin에서만: john
diff: /usr/sbin/lpmove: 사용 권한이 거부됨
diff: /usr/sbin/mipagentconfig: 사용 권한이 거부됨
/usr/sbin에서만: rndd
diff: /usr/sbin/sadmind: 사용 권한이 거부됨
diff: /usr/sbin/smc: 해당 파일이나 디렉토리가 없음
공통 하위 디렉토리: /usr/sbin/sparcv7 및 /backup/usr/sbin/sparcv7
공통 하위 디렉토리: /usr/sbin/sparcv9 및 /backup/usr/sbin/sparcv9
공통 하위 디렉토리: /usr/sbin/static 및 /backup/usr/sbin/static
diff: /usr/sbin/swmtool: 사용 권한이 거부됨
diff: /usr/sbin/sysidconfig: 사용 권한이 거부됨
diff: /usr/sbin/sysidkrb5: 사용 권한이 거부됨
diff: /usr/sbin/sysidnet: 사용 권한이 거부됨
diff: /usr/sbin/sysidns: 사용 권한이 거부됨
diff: /usr/sbin/sysidroot: 사용 권한이 거부됨
diff: /usr/sbin/sysidsys: 사용 권한이 거부됨
#finish
Enter hacked file path >/usr/sbin/in.fingerd