Linux_리눅스 명령어 find / grep

리눅스 명령어 find / grep

- 오라클 가상 머신 사용

- CentOS6

 

<find / grep>

 

#1 find 명령어 : 파일 찾기

사용법 : find [경로] 옵션 action

 

*** name / type 옵션

- name : 파일을 이름으로 찾을 때 사용

- type : 파일을 종류로 찾을 때 사용

 

 

-> 경로는 / (최상위) -name 옵션을 이용해 파일의 이름을 찾는다.

-> *을 이용해 .bash가 맨뒤에 있는 파일이름만 찾는다.

-> -type 옵션을 이용해 s (소켓파일) 인 파일만 찾는다.

 

 

-> -o 옵션을 이용해 확장자가 .php인것과 .txt 인것을 검색한다.

 

*** perm 옵션

- perm : 파일을 권한으로 찾을 때 사용 ( 백도어 찾을 때 유용하다 )

 

 

-> /usr 위치에서 -perm -4000 을 이용해 suid가 설정되어있는 파일을 찾고 -ls 로 보여준다.

-> -perm -4000과 -perm 4000은 다르다. -4000은 suid가 포함되어있는 파일을 찾고 4000은 suid만 설정되어있는 파일을 찾는다.

 

*** mtime / atime / ctime

- mtime : 파일에 내용을 변경한시간 ( ex- vi후 내용추가 )

- atime : 파일에 접근한 시간 ( ex- vi를 했을 경우 )

- ctime : 파일에 내용을 포함해 권한/소유자/소유그룹/파일이름 등을 변경한 경우

 

 

-> atime/mtime/ctime을 이용해 파일의 변경시간이 얼마나 지났는지 확인한다.

-> +10 : 10일이상된 파일, +7 : 7일이상된 파일, -2 : 2일미만된 파일 5 : 5일된파일

 

*** size

- size : 파일을 크기로 찾을 때 사용

 

 

 

-> -size옵션을 이용해 찾는 파일의 크기를 입력해서 찾는다. ( + : 해당크기이상 )

-> 10000000c : 10000000Bytes

-> 10000k : 1000KBytes

-> 10M : 10MBytes

 

#2 find 명령어를 통해 공격자가 만들어놓은 백도어 찾기

-> 최근에 해당 서버에 침해를 당한 흔적이 발견했을 때 공격자가 만들어놓은 백도어 ( root 권한으로 setuid가 설정된 파일 ) 를 검색한다.

 

*** 1. 서버에서 실행파일을 검색한다.

#> find / -perm -100 -type f

 

*** 2. 서버에서 setUID가 설정된 파일을 검색한다.

#> find / -perm -4100 -type f

 

*** 3. 서버에서 소유자가 root인 setUID 설정 파일을 검색한다.

#> find / -user root -perm -4100 -type f

 

*** 4. 최근 일주일이내에 root권한으로 setUID가 설정된 파일을 검색한다.

#> find / -ctime -7 user root -perm -4100 -type f

 

#3 grep 명령어 : 파일내 문자열 검색

사용법 : grep [옵션] 패턴 [파일]

 

*** alias를 이용해 grep으로 찾은 문자열에 색깔부여해보기

 

 

->  alias grep='grep --color' 을 이용하면 해당 문자열만 색깔로 표시되어 좀더 보기 편하다.

 

*** grep의 옵션 사용해보기

 

 

-> -i 옵션 : 대소문자 구분없이 검색한다.

-> -n 옵션 : 해당 문자열이 위치하는 라인의 번호를 알려준다.

-> -E 옵션 : 해당 문자열을 여러개 찾을때 사용한다.

-> -c 옵션 : 검색한 결과의 라인수를 출력해준다.