12. 백도어가 설치되어 있는 것을 아래 보기와 같이 확인하였으나, 해당 파일 경로로 가보니 파일이 존재하지 않았다.
$ ls -al /proc/59001) 백도어 파일 경로로 접속시 해당 프로세스가 보이지 않는 이유는? 2) 삭제된 백도어 프로세스를 /tmp/backdoor로 복원하는 명령어는? 3) 공격자가 사용한 명령어를 확인하는 방법은 무엇인가?(단, ps는 변조되어 사용 불가함)
정답 확인 | 맞췄어요 O | 틀렸어요 X |
2) cp /proc/5900/exe /tmp/backdoor
3) 아래 중 하나 이상 기술
ㅇ history : 공격자가 로그인 후 입력했던 명령어들과 명령어 뒤에 입력한 parameter까지 확인 가능
ㅇ cat /proc/5900/cmdline : 공격자가 백도어 프로세스를 실행시 사용한 명령어 확인 가능