글쓴이: 이명훈
우리나라 리눅스 서버를 보면 
크래킹(해킹)에 완전히 무방비 상태입니다. 
주- 우리 모두 해킹이라고 하지말고 크래킹이라고 불렀으면 좋겠슴다. 

그래서 조금이나마 도움이 되고자 백도어 찾는 방법을 알려줄려고 합니 
다. 물론 이것만으로 해결될수 없죠 

맨처음 크래커의 침입이 의심되면 
setuid와 setgid를 점검해야 합니다. 
그러기 위한 검색 명령어 find !!! 

예) 
# find / -type f -perm +6000 -ls 

설명 
f: 일반적인 화일들, 
+6000: 퍼미션이 6000인 모든것 (any of the permission bits) 
-ls : 상세 출력 `ls -l`과 같음 

수상한 화일이 보이면 삭제하거나 
#chmod -s 수상한화일 
-s: setuid,setuid 해제 


또한 시스템관리상 실수로 쓰기모드로 변경된 파일도 있습니다. 
이걸 ?는 방법,단 링크화일은 안찾아도 되겠죠,정규표현식을 쓰자 .. 
#find / -perm -2 ! -type l -ls 

설명 -2 : 퍼미션이 2이상 모든 것을 지칭해요 (all of the permission 
bits) 
심볼링링크파일이 아닌 모든 데이터화일을 찾는 것 
주로 /dev와 /tmp에 많아요.. 

참고로 소유자나 그룹이 없는 파일을 찾는 방법을 알려드리겠습니다. 이 
건 크래커가 고의적으로 만든경우가 많습니다. 
찾는 방법 
find / -nouser -o -nogroup 
-o(정규표현식 or를 뜻해요)