whowatch

2012. 2. 5. 22:34개발/해킹

일반적으로 레드헷 계열의 리눅스에서는 w, who 명령어로 사용자들을 확인하고 점검할수 있다. 하지만 whowatch는 실시간으로 사용자들의 작업상황을 파악하고 확인할 수 있다.

 

 

 

[02] 다운로드 및 설치

 

# mkdir /whowatch

# cd /whowatch/

# wget http://wizard.ae.krakow.pl/~mike/download/whowatch-1.4.tar.gz

 

# tar -zxvf whowatch-1.4.tar.gz

 

# ls -F

whowatch-1.4/  whowatch-1.4.tar.gz

 

# cd whowatch-1.4/

 

# pwd

/whowatch/whowatch-1.4

 

# ./configure; make

gcc -g -O2 -Wall -I.   -c -o process.o process.c

process.c: In function ‘synchronize’:

process.c:77: error: invalid lvalue in assignment

make: *** [process.o] 오류 1

 

# ls

AUTHORS    Makefile     acconfig.h    config.status  process.c   screen.c

COPYING    Makefile.in  config.cache  configure      procinfo.c  whowatch.1

ChangeLog  NEWS         config.h      configure.in   procinfo.h  whowatch.c

INSTALL    README       config.h.in   install-sh     proctree.c  whowatch.h

KEYS       TODO         config.log    owner.c        proctree.h

 

# vi process.c       /* 77 Line 이동 */

(struct process *) 이 부분을 제외 한다!

다시 컴파일 후 whowatch 파일 확인

 

 

rpm 다운로드

 http://rpmfind.net/linux/rpm2html/search.php?query=whowatch

 

 

 

[기능키]

ENTER           : 메인 프로세스 트리구조 화면

t                    : init 프로세스를 트리구조로 확인할 수 있다.

i                     : idle 시간과 command를 보여준다.

x                   : 현재 화면을 즉시 갱신한다.

q                   : 현재 화면에서 쉘로 빠져나간다.(종료)

 

 

서버측에서

# ./whowatch 실행

  

 

 

[실습]

root 계정으로 whowatch를 실행시켜 놓은 상태에서 ccam계정으로 # vi /etc/inittab 파일을 열어보자!

그리고 whowatch 화면에서 ccam계정으로 이동(방향키)하여 ENTER를 쳐보자!

 

 

 

 

[참고] 이후에 root 관리자는 경로지정없이 실행할수 있도록 whowatch 실행 파일을 /sbin 안에 넣어두면 좋을것 같다.

# cp whowatch /sbin

 

 

whowatch 툴이 현재 서버에 로그인한 사용자들의 상황을 모니터링하기 위한 최적의 도구가 아닐까 싶다.

'개발 > 해킹' 카테고리의 다른 글

버퍼오버플로우  (0) 2012.02.05
Race Condition  (0) 2012.02.05
chkrootkit 을 이용한 루트킷 탐지법  (0) 2012.02.05
TCP Syn Flooding 공격 대처방법  (0) 2012.02.05
Window MSG Hooking  (0) 2012.02.05