null 파일이 삭제 된 경우
2014. 3. 7. 11:33
만들어 보자.
mknod /dev/null c 1 0x0000003
chown root: /dev/null
chmod 666 /dev/null
-----------------------
리눅스에서 /dev 공간 이란?
•실제로 하드디스크에 존재하지는 않는 정보를 저장함
•모든 하드웨어( hdd,cdrom, 마우스, 가상장치,etc…) 를 파일로 인식하며 이를 장치 파일이라 함
•psaux PS/2 마우스 장치
•tty: teletypewritter, 사용자와 시스템 사이를 중계하는 역할 사용자와 시스템사이의 입출력은 모두 여기를 통해 이루어짐
서버시스템에 직접연결된 장치에서 사용함
•pts : telnet, ssh등 을 이용해 원격으로 접속 할 경우(pseudo TTY slave)유사 장치: 실제 장치와 관련이 없음
•null : 이 장치로 들어가는 데이터는 모두 사라짐
•zero : 이 장치에서는 항상 null을 반환
mknod major minor 번호의 의미
* Devices 는 특별한 파일들
+ /etc, /devices 디렉토리에 있는 파일들은 공격자들의 공격 대상
+ Devices 파일은 공격자에게 백도어를 입력할 수 있게 한다.
* Device 파일은 major, minor 번호로 정의.
* 보기 제한된 파일 보는 방법
+ mknod 명령어를 사용해서 특별한 문자 파일을 생성.
+ 기존에 존재하는 장차파일과 major, minor 번호를 동일하게 만들면,
+ mknod 명령어를 사용해서 특별한 문자 파일을 생성.
+ 기존에 존재하는 장차파일과 major, minor 번호를 동일하게 만들면,
읽기 권한을 가질 수 있고, 디스크 전체 내용을 볼 수 있다.
+ 쓰기 권한까지 가진다면, 데이터를 변경또는 파괴할 것이다.
+ 공격자는 심볼릭 디버거(fsdb) 또는 비슷한 툴을 사용해서, 읽거나 수정가능.
+ 쓰기 권한까지 가진다면, 데이터를 변경또는 파괴할 것이다.
+ 공격자는 심볼릭 디버거(fsdb) 또는 비슷한 툴을 사용해서, 읽거나 수정가능.
* mknod 명령어는 특별한 장치 파일을 생성
1) 장치 파일의 major, minor 번호 확인
$ ls -lL /dev/dsk/c0t3d0s2
brw-r----- 1 root sys 32, 26 Apr 5 1999 /dev/dsk/c0t3d0s2
$ ls -lL /dev/dsk/c0t3d0s2
brw-r----- 1 root sys 32, 26 Apr 5 1999 /dev/dsk/c0t3d0s2
2) mknod를 이용해서 character 파일 생성
# mknod /export/home/fred/.secret_file c 32 26
# chown user /export/home/fred/.secret_file
# chmod 600 /export/home/fred/.secret_file
# mknod /export/home/fred/.secret_file c 32 26
# chown user /export/home/fred/.secret_file
# chmod 600 /export/home/fred/.secret_file
- 성공적으로 시스템에 침입했어도, 루트권한이 없으면 mknod 를 실행할 수 없다.
'OS - Linux > Linux - ETC' 카테고리의 다른 글
| 리눅스 ctime, mtime, atime 의미 (0) | 2014.04.01 |
|---|---|
| apache core 파일 분석 (0) | 2014.04.01 |
| 모듈이란? (0) | 2014.03.06 |
| 메모리 관련 커널튜닝 (0) | 2014.02.28 |
| apache+tomcat 로드밸런싱 (0) | 2014.02.26 |
이 글을 공유합시다
