어느 서버를 확인해 보니 ssh 기록이나 모든 기록을 봐도 서버에 접근기록이 없다
하지만 서버는 이미 해커가 침입한 상태..

이 해커는 시험삼아 들어온것인지 아니면 실수를 한것인지 일부 로그를 지우지 않고 작업을 했다

 DoDo’s Rootkit  은 간단하다

미리 정의된 패스워드와 SSH 포트만 있으면  접속된다. 

 
위와 같이 해당서버 IP 및 SSH 포트만 입력하게 되면  해당 서버의 root로 접속하게 된다. 

그럼 해당 서버에 접속된 기록 또는  접속현황이 나타나느냐? 그렇지 않다. 보이지 않기 때문이다.

위와 같이 기본 SSH 접근 기록만 있지  3737포트로 SSH  유저는 보이지 않는다. 

 ttymon 포트가 any로 실행되어  있다 

해당 프로세서 동작 (rootkit)

해당 파일 위치

해당 conf 파일 

그럼 이게 어떻게 동작하냐? ttyload 를 이용해서 접속 

처리 방법

변경된 파일 복원 및 보안설정  

해당 패키지 파일을 재설치하거나 백업본이 있으면 복원  그리고 SSH 접근제어 방화벽 설정