리눅스 시스템이 해킹을 당했을 경우

현장 보존이 가장중요

/tmp /var/tmp  등의 임시 디렉토리에 처음보는, 의심되는 파일이 있는지 확인

이 부분을 확인해야 하는 이유는 /tmp 디렉토리에서 루트권한외에 일반계정으로 파일 실행이 가능함.

따라서 루트 권한 탈취 프로그램이 /tmp 디렉토리에서 시도가 많다고 함.

/dev 디렉토리하위에 일반파일이 있는지 확인. /dev디렉토리에는 일반파일이 있으면 안됨 ex) ssh 파일 같은거

find /dev -type f  -->  /dev 디렉토리 하위에 일반파일이 있는지 찾음

ps -auxf 명령어로 의심되는 프로세스트리를 확인. 이과정에서 침투경로나 파일이 있는 위치등을 확인 할 수도 있다.

netstat -an | grep LISTEN 으로 현재 listen 상태인 모든 포트를 확인

stat 명령어로 이 파일이 언제 퍼미션이 변경되었고, 언제 속성이 변경되었으며, 언제 액세스했는지 확인 할수 있음.

lsattr 명령어로 stat 을 통해 확인한 파일들의 속성 값을 확인 가능 

가령 Troijaned SSH Daemon 같은 루트킷의 경우 /usr/bin/ssh, /usr/sbin/sshd 이 두 파일들의 속성에 i,a 속성이 추가된 경우가 많음

i,a 속성이 추가가 되면 이파일은 이동, 수정 등의 행위는 할수가 없음.

chattr 명령어로 해당 파일의 속성을 변경해주어야함

chattr -ia 파일이름  

수정을 해주면 파일의 이동 및 삭제, 수정이 가능하다.