관리중인 solaris 시스템이 어느날 해킹을 당하여 외부 침입자가 불법침입을 하였다.
다행히 외부침입자의 침입경로를 파악하여 제거하였으나, 불법침입을 한 상태에서
행한 불법작업내역은 아직 확인하지 못하였다.
특히 이 침입자는 이 시스템을 경유지로 하여 타 시스템에 대하여
지속적인 스캐닝 또는 서비스거부공격을 하고 있을 가능성이 매우 높다.
solaris 시스템을 평소 관리했던 상식에 비추어서 시스템내에서 의심스럽게 보이는
프로세스를 찾아서 강제종료 시키시오.
=>
1. 문제를 풀기 위해 알아야 할것들..
프로세스 확인 : ps (process state)
네트워크 확인 : netstat
프로세스에 의해 열린 파일 확인 : lsof
프로세스 종료 : kill "프로세스ID"
ps로 확인해보면 httpd 가 떠있다.
#>kill -9 PID
사용법
kill [ -signal | -s signal ] pid ...
kill [ -L | -V, --version ]
kill -l [ signal ]
설명
프로세스에 signal을 보내기 위해서 사용한다. 시그널을 받은 프로세스는 시그널핸들러를 실행시키거나 시그널 핸들러가 없을 경우 시그널에 대한 기본 행동을 한다. 일반적으로 HUP, INT, KILL, STOP, CONT를 자주 사용한다. 시그널은 이름을 사용할 수도 있고, 번호를 사용할 수도 있다. 즉 -9 와 -SIGKILL 은 동일하다.
'pid 앞에 마이너스 표시가 붙을경우 모든 프로세스 그룹에게 시그널을 보낸다. pid를 -1로 할경우 자신과 init프로세스를 제외한 모든 프로세스에게 시그널을 보낸다.
시그널들
이름 번호 행동 설명
0 0 n/a 시그널을 받는지 확인하기 위해서 사용
ALARM 14 종료
HUP 1 종료
INT 2 종료
KILL 9 종료 이 시그널은 절대 무시할 수 없다.
PIPE 13 종료
PROF 종료
TERM 15 종료
USR1 종료
USR2 종료
VTALRM 종료
PWR 무시 시스템에 따라 종료하는 경우도 있음
WINCH 무시
CHLD 무시
URG 무시
TSTP 멈춤 쉘과 상호작용하기 위함
TTIN 멈춤 쉘과 상호작용하기 위함
TTOU 멈춤 쉘과 상호작용하기 위함
STOP 멈춤 쉘과 상호작용하기 위함
CONT 재시작 만약 멈춤상태였다면, 계속진행한다. 그렇지 않다면 무시
ABRT 6 core
FPE 8 core
ILL 4 core |
QUIT 3 core
SEGV 11 core
TRAP 5 core
SYS core 대부분 미구현
EMT core 대부분 미구현
BUS core
XCPU core
XFSZ core