덕's IT Story

리눅스에서 시스템의 전반적인 로그를 보여주는 /var/log/messages 가 존재함은 다 알것입니다. 하지만 우분투 12.04LTS를 설치하고 나서 로그를 볼려고 찾아보니 없더군요... 그래서 찾아보니 우분투에서 10.x부터 syslog 데몬인 rsyslogd에 무개를 실어감으로 인해 디폴트 값으로 /var/log/messages가 주석처리 되어있더군요. 치명적인 에러에 대한 로그는 /var/log/syslog 에 쓰여지고 info, notice, warn 에 대한 정보는 출력이 되지 않습니다. config 파일의 주석을 풀어줌으로써 기존과 같이 /var/log/messages를 사용할 수 있습니다. $ sudo vi /etc/rsyslog.d/50-default.conf를 통해 conf 파일을 열어..

레이스 컨디션 - 한정된 자원을 동시에 이용하려는 여러 프로세스가 자원의 이용을 위해 경쟁을 벌이는 현상 레이스 컨디션의 공격의 기본 - 1. 취약 프로그램이 생성하는 임시 파일의 이름을 파악 - 2. 생성될 임시 파일과 같은 이름의 파일을 생성 - 3. 이에 대한 심볼릭 링크를 생성 - 4. 원본 파일을 지운 채 취약 프로그램이 심볼릭 링크를 건 파일과 가은 파일을 생성할 때를 기다린다. - 5. 생성되었을 때, 심볼릭 링크를 이용해 파일 내용을 변경 - 6. 시스템은 변경된 파일을 자신이 생성한 임시 파일로 생각하고 프로세스를 진행시킬 것이고, 공격자는 관리자 권한으로 실행되는 프로그램에 끼어들어 무언가를 할 수있는 여지를 만든다. 임시 파일에 대한 레이스 컨디션 공격 리눅스관리자와 해커간의 공격, ..

1. 현재 동작중인 프로세스 및 열린 포트 확인 [리눅스] - 프로세스 확인 : ps -ef - 열린 포트 확인 : netstat -an [윈도우] - 프로세스 확인 : tasklist - 열린 포트 확인 : netstat -an - 열린 포트별 프로세스 확인 : TCPview 프로그램 이용 2. SetUID 파일 검사 find / -user root -perm +4000 3. 바이러스 및 백도어 탐지 툴 이용 [백신 탐지 기법]- 1. 파일이름 (netbus.exe)- 2. 해쉬 (무결성 검사)- 3. 시그니처 (기계어 관련)- 4. opcode (어셈블리어 관련)- 5. 행동기반 (특정포트오픈 -> 파일다운 -> 실행 -> 레지스트리변경) 4. 무결성 검사 TRIPWIRE - 무결성 검사 자동화 프로..

리눅스 의 Setuid 때 배운 백도어를 좀 더 찾기 어렵게 즉 관리자의 눈에 띄지 않게 숨기는 방법입니다. 물론 기존 불필요한 Setuid 랑 바꿔치기 할 수도 있지만 저희는 연습이니깐 ㅎㅎ 그냥 새로 한번 만들어 보겠습니다. 우선 find / -user root -perm +4000 으로 root 권한을 가지는 setuid 목록들을 확인해봅시다 여기 있는 파일들과 섞여도 잘 모를 이름으로 그럴듯하게 만들 면 되겠죠? 파일명은 /usr/bin/chbsh 로 하겠습니다. 근데 관리자를 좀더 속이려면 백도어 파일을 실행시켰을때 일반 프로그램처럼 출력을 하되 특정키를 입력시키면 백도어가 실행되는 그런 파일이면 감쪽같겠죠?? 저는 겉으로는 /usr/bin/chsh 파일을 실행시켰을 때 내용을 출력시키는 그런 ..

1. Ubuntu 12.04LTS Desktop 영문 설치 http://www.ubuntu.com/download/desktop환경에 맞게 64bit or 32bit 다운로드 VMware 에 설치하는 경우 VMware 에서 지원하는 Easy Install 로 User ID, Domain name, PW 등 간단한 설정만 해주면 자동 설치된다. Install Ubuntu 클릭 Download updates while installing 은 설치 완료 후 진행하면 되므로 체크해제 상황에 맞게 윈도우를 지우고 설치하거나 멀티부트용 으로 설치 중 선택 키보드 설정은 Korean - 101/104호환 으로 설정 User name, password, domain name 설정 이후 이와 같은 창이 팝업되면 설치가 ..