티스토리 뷰
1. 현재 동작중인 프로세스 및 열린 포트 확인
[리눅스]
- 프로세스 확인 : ps -ef
- 열린 포트 확인 : netstat -an
[윈도우]
- 프로세스 확인 : tasklist
- 열린 포트 확인 : netstat -an
- 열린 포트별 프로세스 확인 : TCPview 프로그램 이용
2. SetUID 파일 검사
find / -user root -perm +4000
3. 바이러스 및 백도어 탐지 툴 이용
[백신 탐지 기법]
- 1. 파일이름 (netbus.exe)
- 2. 해쉬 (무결성 검사)
- 3. 시그니처 (기계어 관련)
- 4. opcode (어셈블리어 관련)
- 5. 행동기반 (특정포트오픈 -> 파일다운 -> 실행 -> 레지스트리변경)
4. 무결성 검사
TRIPWIRE - 무결성 검사 자동화 프로그램
- 1. 다운로드
wget http://mkgk888.cafe24.com/system/tripwire.rpm
- 2. 설치
rpm -Uvh tripwire.rpm
- 3. 설정파일 및 정책파일 생성
/usr/sbin/tripwire-setup-keyfiles
site keyfile : 정책파일과 환경파일을 설정
local keyfile : 데이터베이스와 레포트 파일을 초기화 및 보호
site passpharse : 환경설정파일을 생성을 위해 사이트 값 입력
- 4. 데이터베이스 초기화
tripwire --init
- 5. 백도어 생성
cd /root
backdoor <--- 로컬 백도어 작성(컴파일 및 4755 권한부여)
- 6. 무결성 검사 시작
tripwire --check
- 7. 레포트 파일 확인
cd /var/lib/tripwire/report
twprint -m r --twrfile localhost.localdomain-xxxxxxxx.twr > 1.txt
vi 1.txt
5. 로그 분석
[로그파일]
일반적으로 아래의 경로에 로그파일이 위치한다.
/var/log
/var/adm/
/usr/adm/
- 1. wtmp
- 사용자 로그인 및 로그아웃 정보를 저장하며 data 파일로 저장된다.
- last 명령으로 wtmp파일 정보를 확인 가능.
- 로그인, 로그아웃 히스토리를 모두 저장하며 shutdown, booting 기록까지 저장됨.
ex) last -f /var/log/wtmp
- 2. secure
- 텔넷이나 FTP 원격접속 등 인증과정을 거치는 모든 로그를 secure 로그에 저장됨.
- syslog 데몬에 의해 설정되어지고 데몬 설정에 따라 기록 유무가 변경될 수 있음.
ex) cat /var/log/secure
- 3. lastlog
- 사용자의 최근 로그인 시간을 사용자 이름, 터미널, 마지막 로그인 시간으로 출력
- 데이터 파일 형태로 저장되고 vi로 확인 할 수 없음.
ex) lastlog
- 4. history
- 로그파일이라고 볼 수 없으며, 이전 명령들을 쉽고 사용하기 보다 편하기 위해 만들어졌음.
- /var/log/에 위치하지 않고 사용자의 홈디렉토리에 사용자별로 존재한다. (.bash_history)
- 시간기록이 되지 않는 단점 존재
공격자는 권한획득 후 작업하기전 history 파일을 남기지않기 위해 링크를 건다.
ex) ln -s /dev/null .bash_history
- 5. messages
- 로그파일 중 가장 중요한 부분으로서 로그인 기록부터 디바이스 정보 시스템 설정오류, 파일시스템, 네트워크 세션 기록과
같이 가장 다양한 정보를 가지고 있음.
- 모든 내용을 확인하기 어렵기 때문에 IP나 단어들을 통한 검색으로 흔적을 찾을 수 있다.
ex) grep "55.10.1.145" /var/log/messages
