저는 팀 전체와 함께 Linux 서버를 사용합니다. 우리 모두는 sudo 권한을 가지고 있습니다.
우리가 알고 있듯이 누군가를 쉽게 쫓아낼 수 있습니다. who -u모든 SSH 로그인은 PID와 함께 나열되고 kill -9모든 사람이 나열됩니다.
이제 일부 나쁜 사람이 로그인한 모든 사용자를 반복하여 시작하는 bash 스크립트를 작성한다고 가정해 보겠습니다.
while true
do
# kill -9 each PID in `who -u`
done
또한 공격자는 systemd를 사용하여 bash 스크립트를 구성하여 부팅 또는 재부팅 시 자동으로 시작되도록 했습니다.
이제는 누구도 원격으로 로그인할 수 없을 것 같습니다.
내 질문은 운영 체제를 다시 설치하지 않고도 이 문제를 해결할 수 있는 기술이 있는지입니다.
답변1
전체 재설치를 권장합니다.
물론 다른 소스(Rescue/Life CD)에서 재부팅할 수 있으며 시스템 장치를 비활성화할 수 있습니다.
하지만 로그인할 수 없다면 그것이 시스템화된 장치인지 어떻게 알 수 있습니까? 이것이 당신이 게시한 스크립트인지 어떻게 알 수 있나요?
그리고 가장 중요한 것은 다른 수정 사항이 없다는 것을 어떻게 알 수 있습니까? 덜 분명한 함정이 숨어 있을 수도 있습니다.