해킹당한 명령어들 rpm 명령으로 (강제) 재설치하기



해킹을 당하게 되면 주로 root가 시스템관리를 위해서 자주사용하는 아래와 같은 명령어들이 동일한 이름의 다른 명령어로 대체되는 경우가 허다하다.

"/usr/bin"
"/usr/bin/find"
"/usr/bin/last"
"/usr/bin/top"
"/usr/bin/uptime"
"/usr/bin/w"
"/usr/bin/who"

따라서 이런 경우에 이런 명령어들을 재설치해야하는데, 가장 쉬운 방법이 신뢰성있는 ftp등의 사이트에서 rpm 패키지소스를 다시 가져와서 재설치해야 할 것이다.

그런데, rpm -Uvh등으로 재설치를 하려면 패키지의존성 때문에 재설치가 불가한 경우가 많다.

물론, 의존성있는 모든 패키지들을 하나씩 찾아서 재설치해주면 되지만, 보통작업이 아니므로 여기서는 필요한 패키지만을 강제적으로 재설치하는 방법(옵션)을 알아보도록 하겠다.



아래의 예를 보자.

[root@kebia_1 sspark]# rpm -Uvh procps-2.0.7-3.i386.rpm
package procps-2.0.7-3 is already installed
[root@kebia_1 sspark]#

위의 예처럼, ps라는 명령어를 재설치하기 위해서 Uvh라는 옵션으로 재설치하려했더니 이미 설치되어 있다고 나왔다.

그래서 rpm -qa라는 명령어로 ps와 관련된 패키지를 찾아서 패키지를 삭제하려 하였다.

[root@kebia_1 sspark]#
[root@kebia_1 sspark]# rpm -qa | grep ps
pspell-0.11.2-1
tetex-dvips-1.0.7-7
ypserv-1.3.11-9
procps-2.0.7-3
psmisc-19-4
psgml-1.2.1-8
[root@kebia_1 sspark]#
[root@kebia_1 sspark]# rpm -e procps-2.0.7-3
error: removing these packages would break dependencies:
procps >= 2.0.6-5 is needed by initscripts-5.49-1
libproc.so.2.0.7 is needed by rusers-server-0.17-6
[root@kebia_1 sspark]#


그랬더니, 위와 같이 패키지 의존성에러가 발생한다.

물론, 이 패키지들을 모두 찾아서 재설치할 수도 있으나, 너무 번거로운 작업이다.



이런 경우에 다음의 예와 같이 --force라는 옵션으로 원하는 패키지를 강제적으로 재설치할 수 있다.

[root@kebia_2 /root]# rpm -Uvh --force procps-2.0.7-3.i386.rpm
procps ##################################################
[root@kebia_2 /root]#



참고로 해당 명령어와 관련된 패키지를 찾는 rpm명령어는 다음과 같습니다.

예를 들어 ps라는 명령어와 관련된 패키지를 찾으려면 다음과 같습니다.

[root@kebia_1 sspark]# rpm -qf /bin/ps
procps-2.0.7-3
[root@kebia_1 sspark]#

이를 점검했다면 이 패키지가 설치했던 파일들을 알아볼 필요가 있겠지요..

다음과 같은 옵션을 사용하면 간단히 볼 수 있죠..

[root@kebia_2 report]# rpm -ql procps-2.0.7-3
/bin/ps
/etc/X11/applnk/Utilities/top.desktop
/lib/libproc.so.2.0.7
/sbin/sysctl
/usr/bin/free
/usr/bin/oldps
/usr/bin/pgrep
/usr/bin/pkill
/usr/bin/skill
/usr/bin/snice
/usr/bin/tload
/usr/bin/top
/usr/bin/uptime
/usr/bin/vmstat
/usr/bin/w
/usr/bin/watch
/usr/share/doc/procps-2.0.7
/usr/share/doc/procps-2.0.7/BUGS
/usr/share/doc/procps-2.0.7/NEWS
/usr/share/doc/procps-2.0.7/TODO
/usr/share/man/man1/free.1.gz
/usr/share/man/man1/oldps.1.gz
/usr/share/man/man1/pgrep.1.gz
/usr/share/man/man1/pkill.1.gz
/usr/share/man/man1/ps.1.gz
/usr/share/man/man1/skill.1.gz
/usr/share/man/man1/snice.1.gz
/usr/share/man/man1/tload.1.gz
/usr/share/man/man1/top.1.gz
/usr/share/man/man1/uptime.1.gz
/usr/share/man/man1/w.1.gz
/usr/share/man/man1/watch.1.gz
/usr/share/man/man5/sysctl.conf.5.gz
/usr/share/man/man8/sysctl.8.gz
/usr/share/man/man8/vmstat.8.gz
[root@kebia_2 report]#

서버2에서 서버1의 데이터를 FTP로 가져와 백업하기

작업내용 : 서버2에서 매일(/etc/cron.daily/autoftp) 서버1로 ftp접속을 하여(/home/sspark/.autoftp.sh, /home/sspark/.ftpscript) 백업할 데이터들을 가져온후에 서버2에 날짜형식을 가진 디렉토리를 생성하여 저장하고, 서버1의 원본데이터는 삭제한다.

서버1에서는 매일매일 백업일 하기위해 /etc/cron.daily/NICE-daily-backup에서 /sbin/NICEBACKUP파일을 실행시켜 이 파일에 있는 내용대로 매일매일 백업이 되고 있다.





서버1에서 매일 백업되는 내용

다음과 같이 서버1의 /sbin/NICEBACKUP에는 백업해야할 내용에관한 명령어들이 들어있다.

[root@kebia_1 /root]# cat /sbin/NICEBACKUP
#!/bin/bash
#APACHE Server BACKUP
tar cvfpz /home/sspark/BACKUP/usr_local_apache.tar.gz /usr/local/apache
#Mysql DB Full BACKUP
tar cvfpz /home/sspark/BACKUP/usr_local_mysql.tar.gz /usr/local/mysql
#Filesystem BACKUP
tar cvfpz /home/sspark/BACKUP/etc.tar.gz /etc
tar cvfpz /home/sspark/BACKUP/var.tar.gz /var
tar cvfpz /home/sspark/BACKUP/home.tar.gz /home
#Mysql file BACKUP
/usr/local/mysql/bin/mysqldump -uroot -p11111 mysql > /home/sspark/BACKUP/mysql.sql
/usr/local/mysql/bin/mysqldump -uroot -p11111 kebia > /home/sspark/BACKUP/kebia.sql
chown -R sspark:sspark /home/sspark/BACKUP



아래와 같이 서버1에는 위의 백업을 매일 하기위해 /etc/cron.dailly에 NICE-daily-backup이란 파일이 존재한다.

[root@kebia_1 /root]# cat /etc/cron.daily/NICE-daily-backup
echo "NICE KOREA BACKUP"
echo `date`
/sbin/NICEBACKUP
echo "BACKUP is completed"
[root@kebia_1 /root]#



서버1에는 매일 아래 디렉토리에 다음과 같이 백업이 되고 있다.

[root@kebia_1 BACKUP]# pwd
/home/sspark/BACKUP
[root@kebia_1 BACKUP]# ll
-rw-r--r-- 1 sspark sspark 1514583 Apr 1 04:04 115.co.kr.tar.gz
-rw-r--r-- 1 sspark sspark 9263 Apr 1 04:05 chapter.co.kr.tar.gz
-rw-r--r-- 1 sspark sspark 12996153 Apr 1 04:05 e-gain.co.kr.tar.gz
-rw-r--r-- 1 sspark sspark 556780 Apr 1 04:04 etc.tar.gz
-rw-r--r-- 1 sspark sspark 2007684 Apr 1 04:04 imt-2000.co.kr.tar.gz
-rw-r--r-- 1 sspark sspark 11236021 Apr 1 04:04 nicekorea.co.kr.tar.gz
-rw-r--r-- 1 sspark sspark 32128 Apr 1 04:04 owner.co.kr.tar.gz
-rw-r--r-- 1 sspark sspark 2150591 Apr 1 04:04 picasso.co.kr.tar.gz
-rw-r--r-- 1 sspark sspark 3624831 Apr 1 04:04 sajik.com.tar.gz
-rw-r--r-- 1 sspark sspark 94379928 Apr 1 04:04 usr_local.tar.gz
-rw-r--r-- 1 sspark sspark 4471105 Apr 1 04:04 var.tar.gz
[root@kebia_1 BACKUP]#





서버2에는 서버1의 데이터를 매일 가져오기위해 /etc/cron.daily에서 매일실행하는 스크립트 autoftp가 아래와 같이 있다.

[root@kebia_2 /root]#
[root@kebia_2 /root]# cat /etc/cron.daily/autoftp
#!/bin/bash
/home/sspark/.autoftp.sh
[root@kebia_2 /root]#



서버2에 만들어져야할 파일2개

autoftp.sh : ftp실행파일

ftpscript : ftp명령어들



[root@kebia_2 sspark]# cat autoftp.sh
#!/bin/bash
ftp -n 211.220.193.181 < ./ftpscript
export backupdir=`date '+%y-%m-%d.%H-%M'`
mkdir /home/sspark/BACKUP/$backupdir
mv /home/sspark/tmp/* /home/sspark/BACKUP/$backupdir
[root@kebia_2 sspark]#



[root@kebia_2 sspark]# cat ftpscript
user sspark 11111
cd /home/sspark/BACKUP
lcd /home/sspark/tmp
bin
prompt
mget *.tar.gz
mdelete *.tar.gz
bye
[root@kebia_2 sspark]#



서버1에는 cron.daily에 /sbin/NICEBACKUP등으로 매일 또는 매주 또는 매월백업을 자동으로 되고 있어야한다.
서버1의 /home/sspark/BACKUP/200104010303 형식으로 디렉토리를 생성하게되어 저장된다.
그런후에는 서버1의 데이터를 삭제한다.



작업완료후에 서버2에는 서버1의 내용이 백업되어 있다.



[root@kebia_2 01-04-01.05-45]# pwd
/home/sspark/BACKUP/01-04-01.05-45
[root@kebia_2 01-04-01.05-45]# ll
-rw-r--r-- 1 root root 1514583 Apr 1 05:36 115.co.kr.tar.gz
-rw-r--r-- 1 root root 9263 Apr 1 05:36 chapter.co.kr.tar.gz
-rw-r--r-- 1 root root 12996153 Apr 1 05:37 e-gain.co.kr.tar.gz
-rw-r--r-- 1 root root 556780 Apr 1 05:37 etc.tar.gz
-rw-r--r-- 1 root root 2007684 Apr 1 05:37 imt-2000.co.kr.tar.gz
-rw-r--r-- 1 root root 11236021 Apr 1 05:38 nicekorea.co.kr.tar.gz
-rw-r--r-- 1 root root 32128 Apr 1 05:38 owner.co.kr.tar.gz
-rw-r--r-- 1 root root 2150591 Apr 1 05:38 picasso.co.kr.tar.gz
-rw-r--r-- 1 root root 3624831 Apr 1 05:38 sajik.com.tar.gz
-rw-r--r-- 1 root root 94379928 Apr 1 05:45 usr_local.tar.gz
-rw-r--r-- 1 root root 4471105 Apr 1 05:45 var.tar.gz
[root@kebia_2 01-04-01.05-45]#



서버2에서 ftp접속 및 작업이 끝난후 서버1의 내용(즉, 원본파일은 지워지게 된다.)

[root@kebia_1 BACKUP]# pwd
/home/sspark/BACKUP
[root@kebia_1 BACKUP]# ll
[root@kebia_1 BACKUP]#

시스템부팅(리스타트)시 quota체크및 quota구동시키기

다음은 부팅시 실행할 스크립트인 /etc/rc.d/rc.local 스크립트에 다음과 같은 설정을 해야한다.

아래의 설정은 시스템이 부팅하면서 quota가 설정된 파티션(파일시스템)을 자동으로 인식하고 quota를 가동시킨 것이다.

즉, quota 체크프로그램인 quotacheck를 실행시킨 것이며 quota가동 프로그림인 quotaon을 가동시키는 스크립트이다.

# quota를 체크한후에 quota를 구동합니다.

if [ -x /sbin/quotacheck ]; then

echo "Checking quotas. This may take some time..."

sbin/quotacheck -avug

echo " Done."

fi

if [ -x /sbin/quotaon ]; then

echo "Enabling disk quota .."

/sbin/quotaon -avug

echo " Done."

fi