[관리방어] 4.악성 프로그램 프로세스 종료 문제

문제
관리중인 solaris 시스템이 어느날 해킹을 당하여 외부 침입자가 불법침입을 하였다. 다행히 외부침입자의 침입경로를 파악하여 제거하였으나, 불법침입을 한 상태에서 행한 불법작업내역은 아직 확인하지 못하였다. 특히 이 침입자는 이 시스템을 경유지로 하여 타 시스템에 대하여 지속적인 스캐닝 또는 서비스거부공격을 하고 있을 가능성이 매우 높다. solaris 시스템을 평소 관리했던 상식에 비추어서 시스템내에서 의심스럽게 보이는 프로세스를 찾아서 강제종료 시키시오.

invalid-file

풀이
# ps
  PID TTY      TIME CMD
  7397 pts/18   0:00 bash
  7460 pts/18   0:00 ps

# ps -ef
    UID   PID  PPID  C    STIME TTY      TIME CMD

   root  7397  7353  0 19:52:31 pts/18   0:00 bash --login
   root  7463  7397  0 19:56:49 pts/18   0:00 ps -ef
   root 16939 19815  0   9월 27 ?        0:00 /bin/ksh /usr/dt/bin/Xsession
   root  6184  6183  0   9월 29 ?        0:00 /usr/dt/bin/dtscreen -mode blank
   root 19815   310  0   9월 22 ?        0:00 /usr/dt/bin/dtlogin -daemon
   root  7399  7397  0 19:52:31 pts/18   0:00 (httpd)
   root 16972 16969  0   9월 27 ?        0:00 htt_server
   root 17011 16994  0   9월 27 pts/2    0:00 /usr/dt/bin/dtsession
   root  5937  5936  0   9월 29 ??       0:00 /usr/dt/bin/dtterm
   root  7303  7301  0 19:50:50 pts/4    0:00 -exshell
   root 16996     1  0   9월 27 ?        0:00 /usr/dt/bin/dsdm
   root  7353  7351  0 19:52:12 pts/18   0:00 -exshell
   root 16994 16992  0   9월 27 pts/2    0:00 -sh -c 

ps를 실행했을때. (httpd)는 수행되고 있지 않은 데몬으로 나오는데. 현재 수행되고 있기 때문에 수상하다 kill명령어를 이용해서 프로세스를 종료시키도록한다.

# kill -9 7399
# finish