- 파일을 열면 로그랑, 계정 등등 관련 파일이 많음.
- account -> history 까서 보면, 실행 명령어 기록이 나오는데, 특정 dir에 777로 몰아준게 딱 하나 있음.
- ps_eaf를 보면, 특정 dir/reverse.php 기록이 하나 나옴. (PID 5245)
- 5245를 통해서 까보면, 연결된 IP도 나옴.
- 그럼 이제 IP를 단서로 (access.log) 다른 파일의 로그로 들어가면, 인코딩된 것으로 보이는 값들이 보이는데, 각각 ls, tar, php임. 아까 php가 이상했지? 그러니까 시간도 그럼 딱.
Forensic/Security/IT