리눅스.... 멀티 유저 시스템을 갖춘 아주 좋은 OS죠..
그만큼 숨겨진 기능이 많이있답니다. 멀티 유저 시스템인만큼 제로보드처럼 쪽지 기능 비슷한것도 있죠..
쪽지는 wall 할말 치면 됩니다.. 웁 -ㅁ-;; 말이 딴데로 새버렸네요.. 그럼 본론으로..


리눅스 서버를 가진님이라면, 가끔 계정 줘 본 적이 있을겁니다. 다른사용자에게..
그러다가 공격당한적도 있을거죠...
이때 공격을 감시하고 저지를 어떻게 하는가??

일단 아주아주 기본적인 방법으로는 w키를 눌러봅니다.
그러면 어떤 자료들이 뜨는데요, 대충 이런식으로..

USER  TTY     FROM             LOGIN@  IDLE  JCPU  PCPU  WHAT
root    pts/0   211.172.???.???  8:46PM     0.0s   0.00s  0.00s   -sh
acco  pts/1   123.248.???.???  9:01PM     1.1h   0.00s  0.00s   -sh
joesj  pts/2   231.221.???.???  7:06PM      5.2s  0.001s 0.01s   vi dos.c
inuri   pts/3   112.223.???.???  10:01PM    3.0s  0.005s 0.05s   vi attack.c

대충 이렇게 나옵니다..(친다고 좀 걸렸음 -ㅁ-)
여기서 중요한것만..
USER은 계정 ID, FROM은 해당 사람의 IP 주소, LOGIN@은 로그인한 시간, IDLE은 작업을 안한 시간, WHAT은 지금 실행중인 명령어입니다.
여기서 의심가는걸 뽑으라고하면 다들 joesj, inuri를 뽑을겁니다..
왜냐구요? WHAT을 보시면 vi, 즉 작성한다, dos.c라는 파일을.. 여기서 dos는 크래킹 공격 이름이죠..
그리고 두번째는 vi attack.c 한글로해석하면 공격.c 라는 파일을 만드는거죠..
이런식으로 의심쩍은 일을 하는사용자가 있으면, 바로 차단 해야겠죠?
일단 FROM에 뜬 IP를 아무데나 써놓으세요. 정확하게!!
그다음 쉘상에서 ps -ef | grep 사용자 아이디 이렇게 입력하시믄..
이런식으로 뜹니다.

UID      PID  PPID  C  STIME  TTY  TIME        CMD
사용자  466    1      2   12:40     4     00:00:55   login -- 사용자
사용자  455    1      2   12:35     4     00:00:55   vi attack.c

이때 CMD가 login -- 사용자 인것의 PID를 확인합니다. 예제에서는 466이군요..
이제 kill 466 합니다. 그리고 재빨리 etc 폴더로 이동하세요..
cd /etc 어디서든 이렇게 명령을 내리면, etc로 갑니다.
이제 IP 막아야겠죠? vi hosts.deny 라고 치세요. 그러면 위에 몇 줄의 주석과 검은 배경의 화면의 뜰겁니다.
여기서 a키를 한번눌러주면, 수정할 수 있습니다.
맨 아래줄에 아까 적어놓은 IP를 쓰세요. 다쓰는 즉시 esc 누르시고 shift + ; 누르신담에 wq라고 치세요.

이제 크래커는 로그인조차 못한답니다. 흐흐...
서버 운영하시는분이라면 가끔씩 w 명령어로 확인해보세요. 그중 vi명령같은걸 쓰는 사람이있다면 주의해야됩니다.
먼저 wall 명령어로 경고주세요~ (맨위에 사용법 써놨죠?)
ex) wall 거기 ???님 지금 뭐하시는겁니까? 저에게 답변 하려면 wall 할말 치세요!!
이런식으로하면 그사용자가 사용법 알려줬으니 말하겠죠? 그때 정확한 의사를 밝히지 않고 묵묵히(?) 한다면 바로 프로그램 강제 종료하고 IP 막아서 끝 -ㅁ-

허접한강좌 읽어주셔서 감사합니다~ 다음엔 좀 더 영양가 있는걸로 해드릴께요~