THE Χ FILES

[root@op root]# ls
ls: unrecognized option `--show-control-chars'
Try `ls --help' for more information.

ls명령을 쳤을때 위와 같은 메세지가 뜨면서 명령어가 먹지 않을때에는
해킹을 의심하셔야 합니다.
위와 같은 경우에는 rootkit에 의한 해킹일 가능성이 가장 큽니다.
rootkit에 의한 해킹을 경우 어디에 백도어 파일이 있는지 찾기 힘들기
때문에 서버의 주요 파일만 백업 받으신 후 새로 설치 하시는게 가장
좋은 방법입니다.

Solaris 에서 기본적 package 인 xntpd 에 포함되어있는 NTP 를 사용하여 date & 시간을 sync 해주는 command 이다.
Solaris 에서는 기본적으로 xntpd 를 사용하므로 /etc/inet/ntp.conf 에있는 conf 파일 수정으로 time sync 를 할수있다.

Linux 에서 ntp 를 사용하려면 ntp 를 down 설치하여 사용할수있다.
Download 싸이트 : http://www.ntp.org/downloads.html

다운받은후 ntpd 를 설정하여도 되며 간단히 ntpdate 를 사용하려한다면 compile 후 ntpdate 를 복사 사용한다.
사용예제 :
ntp 서버의 시간 확인
#ntpdate -q clock.via.net

time 적용 받기
#ntpdate clock.via.net

LSOF는 'List Open File'의 약자이며, 해당 System의 프로세스들에 의해서 열려진 파일들을 확인 하는 tool 이다.
시스템의 프로세스에 대한 확인시 사용된다.

사용예 :

특정 파일의 엑세스하는 프로세스 혹인
# lsof /etc/passwd
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
more 13838 j*** 3r VREG 32,0 1410 18062 /etc/passwd

특정 호스트에 대한 접속 확인
# lsof -i@210.116.*.*
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd2 13715 root 6u inet 0x3000142c3f0 0t596000 TCP inet:22->210.116.*.*:3071 (ESTABLISHED)
sshd2 13826 root 6u inet 0x3000142c2b0 0t14264 TCP inet:22->210.116.*.*:3079 (ESTABLISHED)

특정 유저가 사용하는 프로세스 확인
#lsof -u $userid

특정 프로세스가 오픈하는 파일 확인
#lsof -p $pid