기술관련 보관 - 라이브스마트

What is Unicode?

Unicode is a standard for representing all the characters of the world in a common system. Older character encoding schemes like ASCII were primarily designed based on English, and thus had limitations in representing characters from various languages. Unicode was designed to address these issues.

Unicode assigns a unique number to each character, which supports a total of 143,859 characters, including not only the characters of each country but also symbols, special characters, and control characters. This allows Unicode to harmoniously represent almost all characters in the world.

Unicode consists of the following components:

Code Point: Each character has a unique code point, displayed in hexadecimal following ‘U+’, like U+0000.
Code Plane: Unicode is divided into 17 code planes, with each plane capable of containing up to 65,536 characters. Most common characters are found in the first plane, known as the Basic Multilingual Plane (BMP).
Character Set: A collection of code points, Unicode separates character sets from encoding rules to support various encoding methods.

The introduction of Unicode plays a very important role in internationalization (I18n) and localization (L10n) efforts. It provides a necessary technical foundation for developers or systems working in multilingual support environments. As multilingual text processing is becoming increasingly important, especially in web development, data science, and machine learning, understanding Unicode is essential.

Ubuntu Postgres Account Coin Miner Hacking

When I accidentally typed the top command on the Ubuntu server, I found a strange process consuming a lot of CPU.

Suspicious file searched by md5: 8f96e8b4e9d26884c776c1b42a70bae5

https://otx.alienvault.com/indicator/file/5e5fd0bc5f1bd663d7ccc2695c2b56bd382df3c7fdac605eb0ce3c0d5df24dc4

Below is the resolution process

This process looks suspicious. Paths and filenames like /tmp/./.kGX8ucb are generally not formats used by normal software. This could be part of malware or hacking. Here are some steps to quickly take action in this situation.

Terminate the suspicious process: You can forcibly terminate the process. Use the command kill -9 3785242 to kill the process.
Delete the suspicious file: After terminating the process, delete the /tmp/./.kGX8ucb file. Execute rm /tmp/./.kGX8ucb.
Check for other suspicious processes: To check if other suspicious processes are running, use a command like ps aux | grep tmp to see if there are other processes running in the /tmp directory.
System check: It is advisable to perform additional security checks to confirm whether the system has been infected.
- Examine the system using rootkit detection tools like rkhunter or chkrootkit.
- Check system logs (/var/log/auth.log or /var/log/syslog) for any suspicious activity.
Check network connections: Use the command netstat -tulnp to check the network connections and verify if there are any strange processes connected to the external network.
Patch and update: Ensure that your system is up to date and apply all possible security patches. Use sudo apt update && sudo apt upgrade to update the packages.
Change passwords: It is also important to change the passwords of all user accounts on the server to prevent possible account hijacking.

Depending on the situation, you might consider backing up and reinstalling the system.

My question:

Can I lock a specific account? The postgres account

ChatGPT’s response:

Yes, you can restrict access to specific user accounts such as the postgres account by locking it in Ubuntu. Here are some ways to lock the account.

1. Lock the account (set to unusable)

You can lock the account using the passwd command.

bash code copysudo passwd -l postgres

This command changes the password of the postgres account to a locked state, making it impossible to log in with that account.

2. Change shell to `/bin/false` or `/sbin/nologin`

If you want to make login completely impossible, you can also change the shell of the account. For example, setting the shell of the postgres account to nologin will prevent that account from logging in.

bash code copysudo usermod -s /sbin/nologin postgres

bash code copysudo usermod -s /bin/false postgres

This command prevents the postgres user from accessing the shell when attempting to log in.

3. Set account expiration

You can restrict usage by expiring the account itself.

bash code copysudo usermod -e 1 postgres

This command makes the postgres account expired, making it impossible to log in anymore.

4. Check processes and services, then take action

If the postgres account has been exploited, it may be related to processes or services running within the system, so it’s important to check and terminate those processes with the following command.

bash code copyps aux | grep postgres

Using this command, you can check the processes running under the postgres account and forcibly terminate any suspicious processes.

bash code copysudo kill -9 <PID>

With the above methods, you can effectively lock the postgres account.

How to log out the account immediately

Yes, you can immediately log out the postgres account and terminate all processes of that account. You can forcibly terminate all sessions running under the postgres account using the following command.

1. Check processes of the `postgres` account

First, check the processes running under the postgres account.

bash code copyps -u postgres

This command will show a list of all processes running under the postgres account.

2. Force terminate all processes of the `postgres` account

The following command will immediately terminate all processes running under the postgres account.

bash code copysudo pkill -u postgres

This command forcibly terminates all processes that the postgres account is running. This will log out all sessions that are running under that account.

3. Additional checks

After termination, check the processes again to see if the postgres account is still running.

bash code copyps -u postgres

Through this process, you can immediately log out the postgres account.

Can I view the login information of the postgres account in Ubuntu?

To check the login history of a specific account (e.g., postgres) in Ubuntu, you can use some log files and commands. The login history is typically stored in /var/log/wtmp and /var/log/auth.log.

1. Using the `last` command

You can check the login history of users on the system using the last command.

bash code copylast postgres

This command will show all the records of logins by the postgres account. This includes login and logout times, locations from which the logins occurred (e.g., IP addresses).

2. Check the `auth.log` file

The /var/log/auth.log file records authentication-related events. This includes records of user login attempts, both successful and failed. You can filter for login-related information for the postgres account using the grep command.

bash code copysudo grep 'postgres' /var/log/auth.log

Executing this command will allow you to see information about login attempts related to the postgres account, whether successful or failed.

3. Using the `journalctl` command

On systems using systemd, you can use the journalctl command to check for login events related to the postgres account.

bash code copysudo journalctl _COMM=postgres

This command will display all logs related to the postgres service or account. You can identify login attempts or related activities here.

4. Check the `/var/log/wtmp` file

The wtmp file is a binary file that stores the records of all logins, logouts, and system reboots. The last command refers to this file by default. To check the wtmp file directly:

bash code copylast -f /var/log/wtmp | grep postgres

This command will display the login/logout records related to the postgres account from the wtmp file.

You can use these commands to check the login information for the postgres account, which can help identify suspicious login activity.

Strange files keep appearing, but is it possible to analyze them? It seems like hacking tools.

If suspicious files are being created on your Ubuntu system, you can analyze those files to determine whether they are malware (hacking tools). You can follow several methods to analyze files. Here are some steps you can take.

1. Check basic information about the file

First, you can check the basic properties of the file to determine what type it is, who created it, and when it was created.

bash code copyls -l /path/to/suspicious_file

This command displays the file’s owner, permissions, creation time, and more.

bash code copyfile /path/to/suspicious_file

This command checks the file type. For example, you can determine whether it is a binary file or a script file.

2. Generate a hash value for the file (integrity check)

You can generate a hash value to verify the file’s integrity or to search for a similar file on other systems. By creating hash values such as MD5 or SHA256, you can check if that file is present in malware databases.

bash code copymd5sum /path/to/suspicious_file
sha256sum /path/to/suspicious_file

You can use these hash values to verify the file with online services like VirusTotal.

3. Use online malware scanning tools (such as VirusTotal)

You can also directly upload the files to check for malware. Services like VirusTotal analyze files using multiple antivirus engines.

Download the suspicious file and upload it to VirusTotal via a secure network.
Alternatively, you can enter the hash value of the file into VirusTotal to check if it has been analyzed before.

4. Inspect the contents of the file with the `strings` command

Even for binary files, you can use the strings command to check for human-readable text information within the file. This can help you find clues of malware.

bash code copystrings /path/to/suspicious_file

This command will display text within the file (e.g., URLs, commands, etc.). You can identify URLs or scripts that might indicate malware.

5. Check file usage with the `lsof` command

You can use the lsof command to check which processes are currently using the file.

bash code copylsof /path/to/suspicious_file

This command shows the processes or network connections that have the suspicious file open. If this file is in use by a malicious process, you can terminate that process and isolate the file.

6. Check network activity of the file

If the file is running, you can check for network activity. Use netstat or ss to determine if malware is sending data externally.

bash code copynetstat -tulnp

This command checks for currently open network connections to look for suspicious connections. You can also confirm if the suspicious file is connecting to an external server.

7. Use malware sandbox analysis tools

If you want to perform more specialized malware analysis, you can use sandbox analysis tools. These tools run the file in a safe environment to track its behavior. An open-source sandbox tool is Cuckoo Sandbox.

Cuckoo Sandbox runs suspicious files in a virtual environment to observe the actions the file performs.

8. Use antivirus tools like ClamAV

You can use the open-source antivirus program ClamAV to scan your system in Ubuntu.

To install and scan with ClamAV:

bash code copysudo apt update
sudo apt install clamav
sudo freshclam  # Update virus database
sudo clamscan -r /path/to/directory

This command scans the specified directory or file and detects malware.

9. Remove execution permissions and delete the file

If a file is confirmed to be malware or is suspicious, you can remove its execution permissions, isolate it, or delete it.

To remove execution permissions:

bash code copychmod -x /path/to/suspicious_file

To delete the file:

bash code copyrm /path/to/suspicious_file

Summary

Check the basic information of the file (ls, file).
Generate a hash value for the file and check it with online tools (VirusTotal).
Use the strings command to inspect text contents of the file.
Check if the file is in use with the lsof command.
Check network connections (netstat, ss).
Analyze file behavior using sandbox tools (Cuckoo Sandbox).
Scan the system with antivirus tools like ClamAV.
If confirmed as a malicious file, remove execution permissions and delete it.

This procedure allows you to verify whether suspicious files are malware and take appropriate action.

It seems to be Trojan:Linux/CoinMiner.K, what should I do?

Trojan:Linux/CoinMiner.K is a Trojan that mines cryptocurrency on Linux systems. This Trojan utilizes the resources of the infected system to mine cryptocurrency, which can degrade system performance and lead to excessive power consumption. To remove it and secure the system, follow the steps below.

1. Terminate suspicious processes

The cryptocurrency mining Trojan may run processes with names like coinminer, xmrig, minerd. Check and terminate all suspicious processes that are running.

bash code copyps aux | grep -i 'coinminer\|xmrig\|minerd'

Find the PID of the suspicious process using the command above and terminate it with the command below.

bash code copysudo kill -9 <PID>

2. Delete files

This Trojan often creates executable files in the /tmp directory or hidden directories. Check /tmp, /var/tmp, and hidden files in the user’s home directory and delete any suspicious files.

bash code copysudo rm -rf /tmp/* /var/tmp/*

3. Check user accounts

If the Trojan was installed with root privileges, there is a possibility that a malicious user account has been added to allow access to the system. Use the following command to check for suspicious user accounts and delete them.

bash code copysudo cat /etc/passwd
sudo userdel -r <username>

4. Check scheduled tasks (Crontab)

Trojan tasks are often added to cron jobs to ensure they run persistently after infection. Check for suspicious tasks registered in cron and remove them.

Check user-specific crontab:bash code copysudo crontab -l sudo crontab -u postgres -l
Check system cron:bash code copysudo cat /etc/crontab sudo ls /etc/cron.*

If there are any suspicious jobs, delete them using the following command.

bash code copysudo crontab -e

5. Perform a full system scan with ClamAV

By installing ClamAV, you can scan the entire system and remove malicious files.

bash code copysudo apt update
sudo apt install clamav
sudo freshclam  # Update virus database
sudo clamscan -r --remove /  # Full system scan and remove infected files

6. Check and block suspicious network connections

Trojan may connect to an external server to perform operations. Check network connections using the netstat command and block any suspicious IP addresses.

bash code copysudo netstat -tulnp

If any suspicious IP address is found, you can block it using iptables.

bash code copysudo iptables -A OUTPUT -d <suspicious IP address> -j DROP

7. Check system logs

To track traces of penetration and activity, check /var/log/auth.log, /var/log/syslog, etc.

bash code copysudo cat /var/log/auth.log
sudo cat /var/log/syslog

8. Update packages and security patches

Update all packages to the latest version to block any security vulnerabilities in the system.

bash code copysudo apt update && sudo apt upgrade -y

9. Change passwords

Change the passwords of all user accounts to minimize the possibility of external intrusion.

10. Additional protective measures

For security, set up security groups and consider reinstalling the OS after backup if necessary.

If suspicious activity persists even after these measures, it is advisable to back up and reset the system as infection may still exist.

How to delete the postgres account, the database, and all related data?

To completely delete the PostgreSQL account, database, and all related data, perform the steps below in order. This process will delete the PostgreSQL server and all data files, so caution is necessary.

1. Stop the PostgreSQL service

First, stop the PostgreSQL server.

bash code copysudo systemctl stop postgresql

Alternatively, you can use the command below depending on the service name.

bash code copysudo service postgresql stop

2. Delete the `postgres` account

Delete the system user account postgres created during PostgreSQL installation. Deleting this account will also delete any files owned by this account.

bash code copysudo userdel -r postgres

The -r option will delete the home directory and files owned by the postgres account as well.

3. Delete PostgreSQL data directory and log files

All databases and data for PostgreSQL are typically stored in the /var/lib/postgresql/ directory. After deleting PostgreSQL, remove this directory to delete the database files.

bash code copysudo rm -rf /var/lib/postgresql/

Moreover, if PostgreSQL log files are in /var/log/postgresql/, you can also delete those log files.

bash code copysudo rm -rf /var/log/postgresql/

4. Uninstall PostgreSQL software

Uninstall PostgreSQL package to remove all related files.

Remove PostgreSQL on Ubuntu/Debian-based systems

bash code copysudo apt-get --purge remove postgresql*

The --purge option removes settings files associated with PostgreSQL as well.

Remove PostgreSQL on CentOS/RHEL-based systems

bash code copysudo yum remove postgresql*

5. Check and delete remaining configuration files

Configuration or related files of PostgreSQL may still reside in /etc/postgresql/. If this directory exists, delete it.

bash code copysudo rm -rf /etc/postgresql/

6. Verify PostgreSQL removal from the system

Check if PostgreSQL has been completely removed. If the psql command does not work, PostgreSQL has been successfully removed.

bash code copypsql

If PostgreSQL-related files or processes are still found, please check and delete each directory again.

Following these steps will completely remove all data, user accounts, and database files related to PostgreSQL.

Note

https://si.mpli.st/dev/2018-04-15-cryptominer-inside-postgres

Ultimately, in my case, I deleted the postgres account, the db, deleted all related files, and ran clamscan on the entire computer, removing even the suspicious files found in tmp, changed passwords, and strengthened the firewall.

Adding HTTPS Certificate to Ubuntu Apache Server – Free

To apply HTTPS to an Apache web server, it is necessary to install an SSL certificate and change the Apache settings. HTTPS is a protocol that enhances security between clients and servers by encrypting data. This process covers how to obtain an SSL certificate and apply it to the server.

The following are the general steps to set up HTTPS:

1. Prepare SSL Certificate

An SSL certificate is required to set up HTTPS. There are several methods to obtain a certificate, including the following:

Let’s Encrypt: Provides free SSL certificates.
Commercial SSL Certificate: Purchase paid certificates from providers such as Comodo, DigiCert, GlobalSign, etc.

This description covers how to obtain an SSL certificate using the free option Let’s Encrypt.

2. Install Certbot (When using Let’s Encrypt SSL)

To obtain an SSL certificate from Let’s Encrypt, install Certbot. Certbot is a tool that automates the issuance and renewal of certificates.

Installing Certbot on Ubuntu/Debian:

bash code copysudo apt update
sudo apt install certbot python3-certbot-apache

Installing Certbot on CentOS/RHEL:

bash code copysudo yum install epel-release
sudo yum install certbot python3-certbot-apache

3. Set Up HTTPS on Apache (Using Certbot)

Using Certbot, you can automatically obtain an SSL certificate and modify the Apache settings.

Automate SSL Certificate Issuance and Apache Configuration with Certbot:

bash code copysudo certbot --apache

When you run the above command, Certbot will automatically obtain the certificate and modify the Apache configuration file to enable HTTPS. During the process, you will be prompted to enter your domain name and decide whether to apply SSL.

4. Manual Apache Configuration (When Manually Installing SSL Certificate)

To manually install the SSL certificate, you need to modify the Apache configuration file.

1) Activate SSL Module:

On systems based on Ubuntu or Debian, you need to activate the mod_ssl module.

bash code copysudo a2enmod ssl

On CentOS, you can install the mod_ssl package to activate the SSL module.

bash code copysudo yum install mod_ssl

2) Modify Virtual Host File:

Modify the Apache virtual host configuration file to apply HTTPS. Typically, you modify the configuration file located in the /etc/apache2/sites-available/ directory.

Example:

bash code copysudo nano /etc/apache2/sites-available/your-domain.conf

In the your-domain.conf file, add the following HTTPS configuration:

apache code copy<VirtualHost *:443>
    ServerName your-domain.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/your-domain.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/your-domain.com/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/your-domain.com/chain.pem

    <Directory /var/www/html>
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>

Reference the file paths for the certificates provided by Let’s Encrypt. For commercial certificates, the paths must be changed to those of the issued certificates.

3) Verify Port 443 Settings:

Since SSL communication uses port 443, you need to ensure that Apache is listening on this port.

Check the /etc/apache2/ports.conf file for the following entry:

apache code copyListen 443

On CentOS, similar settings can be applied by modifying the /etc/httpd/conf.d/ssl.conf file.

5. Restart Apache

Once the configuration is complete, restart Apache to apply the changes.

Ubuntu/Debian:

bash code copysudo systemctl restart apache2

CentOS/RHEL:

bash code copysudo systemctl restart httpd

6. Automatic SSL Certificate Renewal (When Using Let’s Encrypt)

Let’s Encrypt certificates are valid for 90 days, so it is necessary to configure automatic renewal. Certbot provides an automatic renewal script that can be registered in Crontab.

Open Crontab:

bash code copysudo crontab -e

You can add the following line to set it up to attempt Certbot renewal every day at dawn:

bash code copy0 3 * * * certbot renew --quiet

Conclusion

This process allows you to apply HTTPS to Apache. Using Let’s Encrypt, you can obtain an SSL certificate for free and handle automatic configuration and renewal easily through Certbot.

유니코드란 무엇인가?

유니코드는 세계의 모든 문자를 하나의 공통된 체계로 표현하기 위한 표준입니다. ASCII와 같은 과거의 문자 인코딩 방식은 주로 영어를 기반으로 설계되었고, 따라서 다양한 언어의 문자를 표현하기에 한계가 있었습니다. 유니코드는 이러한 문제를 해결하기 위해 설계되었습니다.

유니코드는 각각의 문자에 고유한 번호를 부여하며, 이 번호는 각국의 문자뿐만 아니라, 기호, 특수 문자, 제어 문자 등을 포함하여 현재 143,859개의 문자를 지원합니다. 이를 통해 유니코드는 전 세계 거의 모든 문자를 조화롭게 표현할 수 있습니다.

유니코드는 다음과 같은 구성 요소로 이루어져 있습니다:

코드 포인트(Code Point): 모든 문자는 고유한 코드 포인트를 가지며, U+0000처럼 ‘U+’ 뒤에 16진수로 표시됩니다.
코드 플레인(Code Plane): 유니코드는 17개의 코드 플레인으로 구분되며, 각 플레인은 최대 65,536개의 문자를 포함할 수 있습니다. 대부분의 일반 문자는 첫 번째 플레인인 기본 멀티링구얼 플레인(BMP)에 존재합니다.
문자 셋(Character Set): 코드 포인트의 집합으로, 유니코드는 문자 셋과 인코딩 규칙을 분리하여 다양한 인코딩 방식을 지원합니다.

유니코드의 도입은 국제화(I18n)와 현지화(L10n) 작업에서 매우 중요한 역할을 합니다. 다국어 지원 환경에서 작업하는 개발자나 시스템에는 필수적인 기술적 기반을 제공합니다. 특히 웹 개발, 데이터 과학, 머신러닝 분야에서 다국어 텍스트 처리가 점점 중요해지고 있기에, 유니코드의 이해는 필수적입니다.

우분투 postgres 계정 코인 마이너 해킹

우연히 우분투 서버에 top 명령을 쳐보니 이상한 프로세서가 엄청나게 cpu를 잡아먹고 있었다.

md5로 검색해본 의심스러운 파일 : 8f96e8b4e9d26884c776c1b42a70bae5

https://otx.alienvault.com/indicator/file/5e5fd0bc5f1bd663d7ccc2695c2b56bd382df3c7fdac605eb0ce3c0d5df24dc4

이하는 해결 과정

해당 프로세스가 의심스러워 보입니다. /tmp/./.kGX8ucb 같은 경로와 파일 이름은 보통 정상적인 소프트웨어가 사용하는 형식이 아닙니다. 이는 악성 코드나 해킹의 일부일 수 있습니다. 이 상황에서 빠르게 조치해야 할 몇 가지 단계는 다음과 같습니다.

의심스러운 프로세스 종료: 해당 프로세스를 강제로 종료할 수 있습니다. kill -9 3785242 명령어를 사용하여 프로세스를 종료하십시오.
의심스러운 파일 삭제: 프로세스를 종료한 후 /tmp/./.kGX8ucb 파일을 삭제해야 합니다. rm /tmp/./.kGX8ucb를 실행하십시오.
추가 의심스러운 프로세스 확인: 다른 의심스러운 프로세스가 실행 중인지 확인하려면 ps aux | grep tmp 같은 명령어를 사용해 /tmp 디렉토리에서 실행 중인 다른 프로세스가 있는지 확인하십시오.
시스템 점검: 시스템이 감염되었는지 확인하기 위해 추가적인 보안 점검을 수행하는 것이 좋습니다.
- rkhunter 또는 chkrootkit 같은 루트킷 탐지 도구를 사용해 시스템을 검사합니다.
- 시스템 로그 (/var/log/auth.log 또는 /var/log/syslog)를 확인하여 의심스러운 활동이 있었는지 살펴보세요.
네트워크 연결 확인: netstat -tulnp 명령어로 네트워크 연결을 확인해 외부로 연결된 이상한 프로세스가 있는지 확인하십시오.
패치 및 업데이트: 시스템이 최신 상태인지 확인하고, 가능한 모든 보안 패치를 적용하십시오. sudo apt update && sudo apt upgrade를 사용하여 패키지를 업데이트하세요.
비밀번호 변경: 혹시 모를 계정 탈취에 대비하여, 서버의 모든 사용자 계정 비밀번호를 변경하는 것도 중요합니다.

상황에 따라서는 백업 후 시스템을 재설치하는 것도 고려해 보시는 것이 좋습니다.

나의 말:

특정한 계정을 사용못하게 잠글수 있나? postgres 계정

ChatGPT의 말:

ChatGPT

네, 우분투에서 특정 계정을 잠그는 방법을 통해 postgres 계정과 같은 특정 사용자 계정의 로그인을 제한할 수 있습니다. 다음은 계정을 잠그는 몇 가지 방법입니다.

1. 계정 잠그기 (사용 불가로 설정)

passwd 명령어를 사용해 계정을 잠글 수 있습니다.

bash코드 복사sudo passwd -l postgres

이 명령은 postgres 계정의 비밀번호를 잠금 상태로 변경하여, 해당 계정으로 로그인할 수 없게 만듭니다.

2. 쉘을 `/bin/false` 또는 `/sbin/nologin`으로 변경

로그인을 아예 불가능하게 하려면 해당 계정의 쉘을 변경할 수도 있습니다. 예를 들어, postgres 계정의 쉘을 nologin으로 설정하면 해당 계정은 로그인할 수 없습니다.

bash코드 복사sudo usermod -s /sbin/nologin postgres

또는

bash코드 복사sudo usermod -s /bin/false postgres

이 명령은 postgres 사용자가 쉘 액세스를 시도할 때 접근할 수 없도록 만들어 줍니다.

3. 계정 만료 설정

계정 자체를 만료시켜서 사용을 제한할 수도 있습니다.

bash코드 복사sudo usermod -e 1 postgres

이 명령은 postgres 계정을 만료된 상태로 만들어, 더 이상 로그인이 불가능하게 합니다.

4. 프로세스와 서비스 확인 후 조치

만약 postgres 계정이 해킹에 이용되었다면, 해당 계정이 시스템 내에서 실행 중인 프로세스나 서비스에 관련이 있을 수 있으니 다음 명령으로 프로세스를 확인하고 종료하는 것도 중요합니다.

bash코드 복사ps aux | grep postgres

이 명령을 통해 postgres 계정이 실행 중인 프로세스를 확인한 후, 의심스러운 프로세스를 강제로 종료할 수 있습니다.

bash코드 복사sudo kill -9 <PID>

위 방법들을 통해 postgres 계정을 효과적으로 잠글 수 있습니다.

당장 해당 계정을 로그아웃 시키는 방법

네, postgres 계정을 즉시 로그아웃시키고, 해당 계정의 모든 프로세스를 종료할 수 있습니다. 다음 명령어를 사용해 postgres 계정으로 실행 중인 모든 세션을 강제 종료할 수 있습니다.

1. `postgres` 계정의 프로세스 확인

먼저 postgres 계정으로 실행 중인 프로세스를 확인합니다.

bash코드 복사ps -u postgres

이 명령을 실행하면 postgres 계정으로 실행 중인 모든 프로세스의 목록을 확인할 수 있습니다.

2. `postgres` 계정의 모든 프로세스 강제 종료

다음 명령을 사용하면 postgres 계정으로 실행 중인 모든 프로세스를 즉시 종료할 수 있습니다.

bash코드 복사sudo pkill -u postgres

이 명령은 postgres 계정이 실행하고 있는 모든 프로세스를 강제로 종료합니다. 이로 인해 해당 계정이 실행 중인 모든 세션이 로그아웃됩니다.

3. 추가 확인

종료 후 다시 프로세스를 확인하여 postgres 계정이 여전히 실행 중인지 확인합니다.

bash코드 복사ps -u postgres

이 과정으로 postgres 계정을 즉시 로그아웃시킬 수 있습니다.

postgres 계정 로그인 정보를 볼수 있나? 우분투에서

우분투에서 특정 계정(예: postgres)의 로그인 기록을 확인하려면, 몇 가지 로그 파일과 명령어를 사용할 수 있습니다. 대표적으로 로그인 기록은 /var/log/wtmp, /var/log/auth.log 파일에 저장됩니다.

1. `last` 명령어 사용하기

last 명령어를 사용하면 시스템에 로그인한 사용자의 기록을 확인할 수 있습니다.

bash코드 복사last postgres

이 명령은 postgres 계정으로 로그인한 모든 기록을 보여줍니다. 여기에는 로그인 및 로그아웃 시간, 로그인한 위치(IP 주소 등) 등이 포함됩니다.

2. `auth.log` 파일 확인

/var/log/auth.log 파일에는 인증 관련 이벤트가 기록됩니다. 여기에는 사용자 로그인 시도, 성공 및 실패한 로그가 기록됩니다. grep 명령어를 사용해 postgres 계정에 대한 로그인 관련 정보를 필터링할 수 있습니다.

bash코드 복사sudo grep 'postgres' /var/log/auth.log

이 명령을 실행하면 postgres 계정과 관련된 로그인 시도, 성공 또는 실패에 대한 정보를 확인할 수 있습니다.

3. `journalctl` 명령어 사용하기

systemd를 사용하는 시스템에서는 journalctl 명령어를 사용하여 postgres 계정과 관련된 로그인 이벤트를 확인할 수 있습니다.

bash코드 복사sudo journalctl _COMM=postgres

이 명령은 postgres 서비스 또는 계정과 관련된 모든 로그를 표시합니다. 여기서 로그인 시도나 관련된 활동을 확인할 수 있습니다.

4. `/var/log/wtmp` 파일 확인

wtmp 파일은 모든 로그인, 로그아웃, 시스템 재부팅 기록을 보관하는 바이너리 파일입니다. last 명령어는 기본적으로 이 파일을 참조합니다. wtmp 파일을 직접 확인하려면:

bash코드 복사last -f /var/log/wtmp | grep postgres

이 명령은 wtmp 파일에서 postgres 계정과 관련된 로그인/로그아웃 기록을 표시합니다.

위 명령어들을 통해 postgres 계정의 로그인 정보를 확인할 수 있으며, 이 정보를 기반으로 의심스러운 로그인 활동을 파악할 수 있습니다.

이상한 파일들이 막 생기는데 이 파일들을 분석할수는 없나? 해킹툴인거 같은데

의심스러운 파일들이 우분투 시스템에서 생성되고 있다면, 해당 파일들을 분석하여 악성코드(해킹툴)인지 여부를 확인할 수 있습니다. 몇 가지 방법을 통해 파일을 분석할 수 있습니다. 다음 단계들을 따라 분석할 수 있습니다.

1. 파일의 기본 정보 확인

먼저 파일의 기본적인 속성을 확인하여 파일이 어떤 유형인지, 누가 만들었는지, 언제 만들어졌는지를 확인할 수 있습니다.

bash코드 복사ls -l /path/to/suspicious_file

이 명령은 해당 파일의 소유자, 권한, 파일 생성 시간 등을 보여줍니다.

bash코드 복사file /path/to/suspicious_file

이 명령은 파일의 유형을 확인합니다. 예를 들어, 바이너리 파일인지, 스크립트 파일인지 등을 알 수 있습니다.

2. 파일의 해시 값 생성 (무결성 검사)

파일의 무결성을 확인하거나 다른 시스템에서 유사한 파일을 검색할 수 있도록 해시 값을 생성할 수 있습니다. MD5나 SHA256 같은 해시 값을 생성하여 해당 파일이 악성코드 데이터베이스에 있는지 확인할 수 있습니다.

bash코드 복사md5sum /path/to/suspicious_file
sha256sum /path/to/suspicious_file

이 해시 값을 사용해 바이러스 토탈(VirusTotal) 같은 온라인 서비스에서 파일을 검사할 수 있습니다.

3. 온라인 악성코드 검사 도구 사용 (VirusTotal 등)

파일을 직접 업로드해 악성코드 여부를 검사하는 방법도 있습니다. VirusTotal 같은 서비스는 파일을 여러 안티바이러스 엔진을 통해 분석해줍니다.

의심스러운 파일을 다운로드하여 안전한 네트워크를 통해 VirusTotal에 업로드합니다.
또는 파일의 해시 값을 VirusTotal에 입력하여 해당 파일이 이미 분석된 적이 있는지 확인할 수 있습니다.

4. `strings` 명령어로 파일 내부 확인

바이너리 파일이더라도 strings 명령어를 사용해 파일 내에 사람이 읽을 수 있는 텍스트 정보를 확인할 수 있습니다. 이를 통해 악성코드의 단서를 찾을 수 있습니다.

bash코드 복사strings /path/to/suspicious_file

이 명령은 파일 내부의 텍스트(예: URL, 명령어 등)를 보여줍니다. 악성코드의 흔적이 될 수 있는 URL이나 스크립트를 찾을 수 있습니다.

5. `lsof` 명령으로 파일 사용 여부 확인

해당 파일이 현재 어떤 프로세스에서 사용되고 있는지 확인하기 위해 lsof 명령어를 사용할 수 있습니다.

bash코드 복사lsof /path/to/suspicious_file

이 명령은 의심스러운 파일을 열고 있는 프로세스나 네트워크 연결을 보여줍니다. 만약 이 파일이 악성 프로세스에서 사용 중이라면, 해당 프로세스를 종료하고 파일을 격리할 수 있습니다.

6. 파일의 네트워크 활동 확인

파일이 실행 중이라면 네트워크 활동을 확인할 수 있습니다. 악성코드가 외부로 데이터를 전송하고 있는지 확인하기 위해 netstat 또는 ss 명령을 사용할 수 있습니다.

bash코드 복사netstat -tulnp

이 명령은 현재 열려 있는 네트워크 연결을 확인하여 의심스러운 연결이 있는지 찾습니다. 또한 의심스러운 파일이 외부 서버로 연결되고 있는지 확인할 수 있습니다.

7. 악성코드 샌드박스 분석 도구 사용

만약 보다 전문적인 악성코드 분석을 하고자 한다면 샌드박스 분석 도구를 사용할 수 있습니다. 이러한 도구는 파일을 안전한 환경에서 실행하여 파일의 행동을 추적합니다. 오픈 소스 샌드박스 도구로는 Cuckoo Sandbox가 있습니다.

Cuckoo Sandbox는 의심스러운 파일을 가상 환경에서 실행해 파일이 어떤 작업을 수행하는지 추적합니다.

8. ClamAV 같은 안티바이러스 도구 사용

우분투에서는 오픈 소스 안티바이러스 프로그램인 ClamAV를 사용해 시스템을 검사할 수 있습니다.

ClamAV 설치 및 검사:

bash코드 복사sudo apt update
sudo apt install clamav
sudo freshclam  # 바이러스 데이터베이스 업데이트
sudo clamscan -r /path/to/directory

이 명령은 지정된 디렉토리 또는 파일을 검사하여 악성코드를 찾아줍니다.

9. 실행 권한 제거 및 파일 삭제

파일이 악성코드로 확인되거나 의심스러운 경우, 파일의 실행 권한을 제거하고 격리하거나 삭제할 수 있습니다.

실행 권한 제거:

bash코드 복사chmod -x /path/to/suspicious_file

파일 삭제:

bash코드 복사rm /path/to/suspicious_file

요약

파일의 기본 정보를 확인 (ls, file).
파일의 해시 값을 생성해 온라인 도구 (VirusTotal)에서 검사.
strings 명령어로 파일 내부 텍스트를 확인.
lsof 명령어로 파일이 사용 중인지 확인.
네트워크 연결을 확인 (netstat, ss).
샌드박스 도구(Cuckoo Sandbox)를 통해 파일 행동 분석.
ClamAV 같은 안티바이러스 도구를 사용해 시스템 검사.
악성 파일로 확인되면 실행 권한 제거 및 삭제.

이런 절차를 통해 의심스러운 파일들이 악성코드인지 확인하고 적절한 조치를 취할 수 있습니다.

Trojan:Linux/CoinMiner.K 이거라는데 어떡하지

Trojan:Linux/CoinMiner.K는 리눅스 기반에서 암호화폐를 채굴하는 악성코드(Trojan)입니다. 이 트로이 목마는 감염된 시스템의 리소스를 사용해 암호화폐를 채굴하여, 시스템 성능을 저하시키고 과도한 전력 소비를 초래할 수 있습니다. 이를 제거하고 시스템을 보호하기 위해 아래 단계를 따라 조치하세요.

1. 의심스러운 프로세스 종료

암호화폐 채굴 트로이 목마는 coinminer, xmrig, minerd 등과 같은 이름의 프로세스를 실행합니다. 실행 중인 모든 의심스러운 프로세스를 확인하고 종료합니다.

bash코드 복사ps aux | grep -i 'coinminer\|xmrig\|minerd'

위 명령으로 의심스러운 프로세스의 PID를 찾은 다음, 아래 명령으로 종료합니다.

bash코드 복사sudo kill -9 <PID>

2. 파일 삭제

해당 트로이 목마는 /tmp 디렉토리나 숨겨진 디렉토리에서 실행 파일을 만들어 두는 경우가 많습니다. /tmp, /var/tmp, 사용자 홈 디렉토리의 숨김 파일 등을 확인하고 의심스러운 파일들을 삭제하세요.

bash코드 복사sudo rm -rf /tmp/* /var/tmp/*

3. 사용자 계정 확인

트로이 목마가 루트 권한으로 설치되었다면, 악성 사용자가 시스템에 접근할 수 있도록 새로운 사용자 계정을 추가했을 가능성이 있습니다. 다음 명령을 사용해 의심스러운 사용자 계정이 있는지 확인하고 삭제합니다.

bash코드 복사sudo cat /etc/passwd
sudo userdel -r <사용자명>

4. 예약된 작업 확인 (Crontab)

트로이 목마는 감염 후 지속적으로 실행되기 위해 cron 작업에 추가됩니다. cron에 등록된 의심스러운 작업이 있는지 확인하고 제거합니다.

사용자별 crontab 확인:bash코드 복사sudo crontab -l sudo crontab -u postgres -l
시스템 cron 확인:bash코드 복사sudo cat /etc/crontab sudo ls /etc/cron.*

의심스러운 작업이 있다면 다음 명령으로 삭제하세요.

bash코드 복사sudo crontab -e

5. ClamAV로 전체 시스템 검사

ClamAV를 설치하여 시스템 전체를 검사하고 악성 파일을 제거할 수 있습니다.

bash코드 복사sudo apt update
sudo apt install clamav
sudo freshclam  # 바이러스 데이터베이스 업데이트
sudo clamscan -r --remove /  # 전체 시스템 검사 및 감염 파일 제거

6. 의심스러운 네트워크 연결 확인 및 차단

트로이 목마가 외부 서버에 연결하여 작업을 수행할 수 있습니다. netstat 명령으로 네트워크 연결을 확인하고 의심스러운 IP 주소를 차단하세요.

bash코드 복사sudo netstat -tulnp

만약 의심스러운 IP 주소가 확인되면, iptables를 사용해 해당 IP 주소를 차단할 수 있습니다.

bash코드 복사sudo iptables -A OUTPUT -d <의심스러운 IP 주소> -j DROP

7. 시스템 로그 확인

침투 및 활동 흔적을 추적하기 위해 /var/log/auth.log, /var/log/syslog 등을 확인하세요.

bash코드 복사sudo cat /var/log/auth.log
sudo cat /var/log/syslog

8. 패키지 업데이트 및 보안 패치

시스템의 보안 취약점을 막기 위해 모든 패키지를 최신 버전으로 업데이트하세요.

bash코드 복사sudo apt update && sudo apt upgrade -y

9. 비밀번호 변경

모든 사용자 계정의 비밀번호를 변경해, 외부 침입 가능성을 최소화합니다.

10. 추가적인 보호 조치

보안을 위해 보안 그룹을 설정하고, 필요 시에는 백업 후 OS를 재설치하는 것이 최선일 수 있습니다.

이 조치들로도 의심스러운 활동이 계속되면, 감염이 지속되었을 가능성이 있으므로 시스템을 백업하고 초기화하는 것이 좋습니다.

postgre 계정도 삭제하고 데이터베이스도 삭제하고 관련 모든 데이터도 지우려면 어떻게 해야해?

PostgreSQL 계정과 데이터베이스, 그리고 관련 데이터까지 완전히 삭제하려면 아래의 단계를 순서대로 수행하시면 됩니다. 이 과정은 PostgreSQL 서버와 모든 데이터 파일을 삭제하므로 주의가 필요합니다.

1. PostgreSQL 서비스 중지

먼저 PostgreSQL 서버를 중지합니다.

bash코드 복사sudo systemctl stop postgresql

또는 서비스 이름에 따라 아래 명령어를 사용할 수 있습니다.

bash코드 복사sudo service postgresql stop

2. `postgres` 계정 삭제

PostgreSQL 설치 시 생성된 시스템 사용자 계정 postgres를 삭제합니다. 이 계정을 삭제하면 해당 계정이 소유한 파일도 삭제됩니다.

bash코드 복사sudo userdel -r postgres

-r 옵션은 postgres 계정의 홈 디렉토리 및 소유한 파일도 함께 삭제합니다.

3. PostgreSQL 데이터 디렉토리 및 로그 파일 삭제

PostgreSQL의 모든 데이터베이스와 데이터는 일반적으로 /var/lib/postgresql/ 디렉토리에 저장됩니다. PostgreSQL을 삭제하고 나면 이 디렉토리를 삭제하여 데이터베이스 파일을 제거합니다.

bash코드 복사sudo rm -rf /var/lib/postgresql/

또한, PostgreSQL 로그 파일이 /var/log/postgresql/에 있다면, 해당 로그 파일도 삭제할 수 있습니다.

bash코드 복사sudo rm -rf /var/log/postgresql/

4. PostgreSQL 소프트웨어 삭제

PostgreSQL 패키지를 삭제하여 관련 파일들을 모두 제거합니다.

우분투/Debian 기반 시스템에서 PostgreSQL 제거

bash코드 복사sudo apt-get --purge remove postgresql*

--purge 옵션을 사용하면 PostgreSQL 관련 설정 파일도 삭제됩니다.

CentOS/RHEL 기반 시스템에서 PostgreSQL 제거

bash코드 복사sudo yum remove postgresql*

5. 남은 구성 파일 확인 및 삭제

PostgreSQL의 설정 파일이나 관련 파일이 /etc/postgresql/에 남아 있을 수 있습니다. 해당 디렉토리가 존재하면 삭제합니다.

bash코드 복사sudo rm -rf /etc/postgresql/

6. 시스템에서 PostgreSQL 확인

PostgreSQL이 완전히 삭제되었는지 확인합니다. psql 명령어가 작동하지 않으면 PostgreSQL이 성공적으로 제거된 것입니다.

bash코드 복사psql

만약 PostgreSQL 관련 파일이나 프로세스가 여전히 발견된다면, 각 디렉토리를 다시 한 번 확인하고 삭제해 주세요.

이 단계를 통해 PostgreSQL과 관련된 모든 데이터, 사용자 계정, 데이터베이스 파일이 완전히 삭제됩니다.

참고