간단한 해킹 진단법

1. 로그 확인

/var/log/messages, secure

2. 임시 디렉토리 확인

ls -alR /tmp 그리고 ls -alR /var/tmp 그리고 /dev/shm 디렉토리의 숨겨진 파일 및 디렉토리 확인

3. /etc/passwd, /etc/shadow 파일 확인 
/etc/passwd 파일에서 UID가 0이거나 불법적인 새로운 계정이 있는지 확인합니다.
/etc/shadow 파일에서 암호가 없는 계정이 있는지 확인합니다.

4. 구동중인 프로세스 확인

pstree -ap

내가 알지 못하는 프로그램이 돌고 있는지 확인합니다.

수시로 확인하여 주로 사용되는 프로그램이 무엇인지도 알아두는것이 좋습니다.

4. 열린 포트 확인
ps -ef나 netstat -an으로 현재 연결되어 있는 상태를 점검합니다.
lsof 명령은 시스템에서 돌아가는 모든 프로세스와 연결되어진 파일들에 대한 정보를 보여줍니다.
(예: lsof -p [PID])

5. rkhunter 설치
http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
tar zxf rkhunter-1.2.7.tar.gz
cd rkhunter
./installer.sh
rkhunter -c

7. setuid나 setgid파일 확인 
setuid를 가지는 실행 프로그램은 실행도중에 root의 권한을 가지고 실행되므로 find를 이용하여 setuid나 setgid 파일이 있는지 확인합니다.
find / -user root -perm -4000 -print>suidlist 
find / -user root -perm -2000 -print>sgidlist 

8. find /dev -type f -print
(/dev 밑에 일반파일이 있는지 찾음->원래 dev밑에는 일반화일이 있으면 안됨)
* fc3 이후에는 /dev내에 /udev관련 파일이 존재함

9. rpm 변조 여부 체크
rpm -Va | grep ^..5