2012. 2. 5. 22:34ㆍ개발/해킹
일반적으로 레드헷 계열의 리눅스에서는 w, who 명령어로 사용자들을 확인하고 점검할수 있다. 하지만 whowatch는 실시간으로 사용자들의 작업상황을 파악하고 확인할 수 있다.
[02] 다운로드 및 설치
# mkdir /whowatch
# cd /whowatch/
# wget http://wizard.ae.krakow.pl/~mike/download/whowatch-1.4.tar.gz
# tar -zxvf whowatch-1.4.tar.gz
# ls -F
whowatch-1.4/ whowatch-1.4.tar.gz |
# cd whowatch-1.4/
# pwd
/whowatch/whowatch-1.4 |
# ./configure; make
gcc -g -O2 -Wall -I. -c -o process.o process.c process.c: In function ‘synchronize’: process.c:77: error: invalid lvalue in assignment make: *** [process.o] 오류 1 |
# ls
AUTHORS Makefile acconfig.h config.status process.c screen.c COPYING Makefile.in config.cache configure procinfo.c whowatch.1 ChangeLog NEWS config.h configure.in procinfo.h whowatch.c INSTALL README config.h.in install-sh proctree.c whowatch.h KEYS TODO config.log owner.c proctree.h |
# vi process.c /* 77 Line 이동 */
(struct process *) 이 부분을 제외 한다! |
[기능키]
ENTER : 메인 프로세스 트리구조 화면 t : init 프로세스를 트리구조로 확인할 수 있다. i : idle 시간과 command를 보여준다. x : 현재 화면을 즉시 갱신한다. q : 현재 화면에서 쉘로 빠져나간다.(종료) |
서버측에서
# ./whowatch 실행
[실습]
root 계정으로 whowatch를 실행시켜 놓은 상태에서 ccam계정으로 # vi /etc/inittab 파일을 열어보자!
그리고 whowatch 화면에서 ccam계정으로 이동(방향키)하여 ENTER를 쳐보자!
[참고] 이후에 root 관리자는 경로지정없이 실행할수 있도록 whowatch 실행 파일을 /sbin 안에 넣어두면 좋을것 같다.
# cp whowatch /sbin
이 whowatch 툴이 현재 서버에 로그인한 사용자들의 상황을 모니터링하기 위한 최적의 도구가 아닐까 싶다.
'개발 > 해킹' 카테고리의 다른 글
버퍼오버플로우 (0) | 2012.02.05 |
---|---|
Race Condition (0) | 2012.02.05 |
chkrootkit 을 이용한 루트킷 탐지법 (0) | 2012.02.05 |
TCP Syn Flooding 공격 대처방법 (0) | 2012.02.05 |
Window MSG Hooking (0) | 2012.02.05 |