[미운오리]님이
 남기신 글:

>일전에 /var/log/meaasges 기록파일 부분입니다
>
>----------------ㅡmessages-----------------------------

>
>Aug 28 21:11:57 ns named[16479]: Cleaned cache of 22 RRs
>Aug 28 21:11:57 ns named[16479]: USAGE 967464717 967291917 CPU=2.11u/2.11s
CHILDCPU=0u/0s
>Aug 28 21:11:57 ns named[16479]: NSTATS 967464717 967291917 A=1623 PTR=435 MX=7
TXT=1 ANY=26
>Aug 28 21:11:57 ns named[16479]: XSTATS 967464717 967291917 RR=968 RNXD=88
RFwdR=719 RDupR=3 RFail=1 RFErr=0 RErr=0 RAXFR=0 RLame=12 ROpts=0 SSysQ=193
SAns=1476 SFwdQ=577 SDupQ=229 SErr=0 RQ=2092 RIQ=1 RFwdQ=0 RDupQ=98 RTCP=0 SFwdR=719
SFail=0 SFErr=0 SNaAns=680 SNXD=839
>Aug 28 21:46:11 ns useradd[17936]: new group: name=rockz, gid=505 
>Aug 28 21:46:11 ns useradd[17936]: new user: name=rockz, uid=505, gid=505,
home=/home/rockz, shell=/bin/bash 
>Aug 28 21:46:19 ns PAM_pwdb[17937]: password for (rockz/505) changed by
((null)/0)
>Aug 28 21:48:48 ns PAM_pwdb[17940]: (login) session opened for user rockz by
(uid=0)
>Aug 28 21:49:57 ns proftpd[17939]: FTP session closed. 
>Aug 28 22:01:07 ns proftpd[17964]: FTP session closed. 
>Aug 28 22:02:58 ns proftpd[17972]: data_sendfile(4,0,62) 
>Aug 28 22:02:58 ns proftpd[17972]: data_sendfile: 62 
>Aug 28 22:04:29 ns proftpd[17972]: data_sendfile(4,0,62) 
>Aug 28 22:04:29 ns proftpd[17972]: data_sendfile: 62 
>Aug 28 22:13:58 ns proftpd[17972]: FTP no transfer timeout, disconnected.

>//   상단에 보면  rockz 라는 계정 이생성돠었는 데
>    제가 만들지는 않았는데   만들어쪄 있더군요
>      이것이 누가 root 권한을 획들 하여 만들었다는
것인지요
>      
>
>Aug 28 22:26:58 ns named[23078]: starting.  named 8.2.2-P5 Thu Jan  6 08:27:57 EST
2000 ^Iroot@linux.ntic.qc.ca:/dev/.../src/bin/named
>Aug 28 22:26:58 ns named[23078]: hint zone "" (IN) loaded (serial
0)
>Aug 28 22:26:58 ns named[23078]: master zone "0.0.127.in-addr.arpa" (IN)
loaded (serial 1997022700)
>Aug 28 22:26:58 ns named[23078]: master zone "30.223.210.in-addr.arpa"
(IN) loaded (serial 1997022700)
>Aug 28 22:26:58 ns named[23078]: master zone "plusme.co.kr" (IN) loaded
(serial 1997022700)
>
>----------------------messages end-----------------
>
> rpm --verify -a   log 파일 입니다  첨부 아오니 바쁘신
가운데
> rpm  으로 체킹한 파일 첨부 합니다 한번 시간 나시면 보아
주셰요
>
>------------------//---------------------------------------
>
>
>
>
>[산이]님이 남기신 글:
>
>>[미운오리]님이
 남기신 글:
>>
>>>상황 1
>>>
>>>전원 공급이 바람으로 인하여 나깠다 들어 오면서
서버가
>>>재부팅 하였읍니다
>>>
>>>그런데 예전에 사용하던 ndc 또는 기타 몇가지 명령들이
안먹히는데요
>>>이런땐 어떻게 하여야 하는지요
>>>
>>>참고로 부팅할때 /usr/local/mysql/dada  줄에서 한참 있다가

>>>log 으로 올라 옵니다 
>>
>>========================================
>>
>>...
>>
>>재부팅후 명령어 수행이 안되면
>>일단 해킹을 의심해 봐야할것 같군요...
>>
>>일단은 명령어 수행이 안되는 파일의 위치를
알아내고
>>퍼미션등을 확인해 보세요...
>>
>>그리고,
>>
>># rpm --verify -a
>>
>>명령으로 검증확인
>>
>>이에 대한 자세한 내용은
>>
>>아래의 싸이트의 거의 마지막 부분에 있습니다.
>>
>>http://kldp.org/Translations/html/LAME/security.html
>>
>>........... 
>
>======================================== 

========================================

현재 크래킹 당했다고 봐야할것 같군요..

결정적인 부분이


SM5.....   /bin/login


인데...

/bin/login 파일은 TEXT파일이 아닌 실행파일입니다.


그런데 이 파일에 변화가 있습니다.

즉

S는 파일크기가 변경,
M는 모드(퍼미션)
5는 MD5 sum

입니다.

더구나 관리자가 추가하지 않은 계정이 있다는것은
더욱 명백한것 같군요.....

일반적으로 관리자가 어떤 프로그램을 설치할 경우
설치도중 계정을 추가하는경우가
 있는데
예를 들면 메이저도모 같은 경우입니다.

그런데...이런경우도
 아니니.....

좀더 많이 조사할 필요는 있지만

일단 크래킹으로 간주하고
다시 설치해야하는게
 속편할것 같군요....

중요한점은 계정사용자가 그리 많지 않는다면
불편하더라고 처음부터 다시 패스워드를 다르게설정하는게

좋은것 같군요.....



아 그리고,

# last
# lastlog

로도 확인해보세요.....